12 марта 2015 в 23:28

Блокировка запрещенных ресурсов РКН по url в том числе и https recovery mode

*nix*
Не так давно я серфил форумы по причине нововведений от РКН, в их «закон», который кроме нецензурных фраз у меня ни чего не вызывает, но тем не менее эти законы мы обязаны исполнять. И обнаружил, что мои коллеги используют просто ужасные методы для блокировки сайтов. Я решил поделиться своим методом, который не только блокирует по url, но и умеет закрывать https.

Сразу скажу, что я не знаю выкладывал ли кто то подобное в сеть, я до всего дошел сам.

Что же нам понадобиться? Ни каких дорогущих проприетарных решений, от cisco и им подобным, не пугайтесь. Вообще говоря, хочется сказать несколько теплых слов всем тем кто работает по GNU и opensource. Большое ВАМ человеческое спасибо и низкий поклон. ИМХО opensource в переди планеты всей и я считаю за ним будущее. И эта статья очередное подтверждение тому.

Идея состоит в следующем:
Мы формируем уникальный список блокируемых IP в ipset. Далее в NAT PREROUTING добавляем правила. Если IP назначения в списке, тогда заворачиваем на наш прозрачный прокси, где уже осуществляем фильтр по URL.

И так из инструментов — ipset, iptables, squid (ssl bump).
Я не случайно пел дифирамбы opensource, дело в том что на сегодня только squid предложил технологию которая позволяет заглядывать в https(мне по крайней мере других не известно). А ipset демонстрирует высочайшую скорость работы и держит тысячи правил не нагружая процессор и не ухудшая отклик сети.

Вкратце опишу процесс получения выгрузки. Качаем программу P12FromGostCSP, с её помощью выдираем закрытый ключ. Затем конвертируем его в pem.

$/gost-ssl/bin/openssl pkcs12 -in p12.pfx -out provider.pem -nodes -clcerts

На всякий случай проверяем срок действия
$openssl x509 -in provider.pem -noout -dates

Далее собираем openssl с поддержкой гостовского алгоритма. Как это сделать, много написано в интернете. В подробности углубляться не буду.

Сам скрипт, который получает выгрузку.(Автором скрипта и xml-парсера я не являюсь, мною только переписан он под формат 2) Скрипт необходимо вызвать с параметрами 0 и 1 с необходимым интервалом.
Таким образом результатом работы скрипта является наличие 3-ех файлов
ip-abuse.txt — список IP
url-abuse.txt — блокируемые url
subnet-abuse.txt — блокируемые подсети

В общем наша задача получить IP — адреса и url в отдельных файлах.
Данные для работы у нас есть, теперь необходимо реализовать механизм.
Качаем актуальную версию кальмарчика www.squid-cache.org/Versions
Распаковываем и компилируем:
$./configure --enable-ssl --enable-ssl-crtd --with-openssl
$make
$sudo make install

По умолчанию squid ставиться в /usr/local/squid
Файл конфигурации соответственно /usr/local/squid/etc
acl — запрета соответственно /usr/local/squid/etc/acls

Генерируем сертификаты
openssl req -new -newkey rsa:1024 -days 3650 -nodes -x509 -keyout myCA.pem -out myCA.pem;
openssl x509 -in myCA.pem -outform DER -out myCA.der

Далее привожу пример своего конфигурационного файла:
acl deny_url url_regex -i "/usr/local/squid/etc/acls/zapret"
http_access deny deny_url
http_access allow all

dns_v4_first on

http_port 10.20.0.1:3128 transparent
http_port 3128

#HTTPS
https_port 10.20.0.1:3129  transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local
/squid/etc/myCA.pem

sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
always_direct allow all

ssl_bump client-first all
ssl_bump server-first all

ssl_bump none all
sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB
#sslcrtd_children 5

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Теперь необходимо составить список acls, я использую вот такой скрипт
#!/bin/bash
> /usr/local/squid/etc/acls/zapret
cat /gost-ssl21/rzs/dump/url-abuse.txt | sort | uniq |  while read LINE; do
echo $LINE'.*' >>  /usr/local/squid/etc/acls/zapret
done ;
cat /root/ZAPRET/prokur | sort | uniq >>  /usr/local/squid/etc/acls/zapret ;
/usr/local/squid/bin/squid -k reconfigure
exit 0

Идея состоит в том, что бы добавить в конец каждой url ".*" — это означает любую последовательность символов. Например «casino.com.*» будет блокироваться домен и все ссылки включая этот домен.
Необходимо выполнить еще несколько комманд:
mkdir /usr/local/squid/var/lib
/usr/local/squid/libexec/ssl_crtd -c -s /usr/local/squid/var/lib/ssl_db

На этом со сквидом закончим.

Теперь нам необходимо как то «запрещенный трафик» завернуть на фильтрацию.
Для этого мы создаем в ipset две цепочки: ZAPRET — уникальный список блокируемых IP, ZAPRETNET — список блокируемых подсетей.
ipset -N ZAPRETNET hash:net
ipset -N ZAPRET hash:ip

Создаем сами правила при помощи iptables
#Заворачиваем на прокси
iptables -t nat -A PREROUTING -s «подсеть абонентов» -p tcp -m set --match-set ZAPRET dst -m tcp --dport 80 -j DNAT --to-destination «proxy IP»:3128
iptables -t nat -A PREROUTING -s «подсеть абонентов» -p tcp -m set --match-set ZAPRET dst -m tcp --dport 443 -j DNAT --to-destination «proxy IP»:3129
#Блокируем всю подсеть
iptables -A FORWARD -s «подсеть абонентов» -m set --match-set ZAPRETNET dst -j DROP

Теперь нам нужно заполнить списки ipset-а. Привожу свой скрипт:
#!/bin/bash
FILENAME="create_ruls"
> $FILENAME ;
echo 'if [ -z "`ipset -L | grep ZAPRET`" ] ;' >> $FILENAME
echo 'then' >>$FILENAME
echo 'ipset -N ZAPRET hash:ip' >> $FILENAME
echo 'else' >>$FILENAME
echo 'ipset -F ZAPRET' >> $FILENAME
echo 'fi' >>$FILENAME

echo 'if [ -z "`ipset -L | grep ZAPRETNET`" ] ;' >> $FILENAME
echo 'then' >>$FILENAME
echo 'ipset -N ZAPRETNET hash:net' >> $FILENAME
echo 'else' >>$FILENAME
echo 'ipset -F ZAPRETNET' >> $FILENAME
echo 'fi' >>$FILENAME

cat /gost-ssl21/rzs/dump/ip-abuse.txt | sort | uniq | while read LINE; do
echo ipset -A ZAPRET $LINE >> $FILENAME
done ;

cat /gost-ssl21/rzs/dump/subnet-abuse.txt | sort | uniq | while read LINE; do
echo ipset -A ZAPRETNET $LINE >> $FILENAME
done ;

$sudo ./create_ruls

На этом все, открываем браузер и пытаемся выйти на запрещенный ресурс. Должны увидеть сообщение squid-a, что доступ запрещен. Что то типа этого:
image
Для красоты сюжета заменяем файлы:
/usr/local/squid/share/errors/en/ERR_ACCESS_DENIED
/usr/local/squid/share/errors/ru/ERR_ACCESS_DENIED

На свою страничку блокировки типа — «извините ресурс заблокирован согласно закона ....».

PS Данный метод блокировки проверен в боевых условиях и работает на реальных серверах по сей день. При этом ping не увеличился ни на миллисекунду. Особой разницы в загрузки процессора я тоже не заметил. Поскольку РКН очень ревностно относится к получению выгрузки, в скрипте можно раскомментировать строку:
system("/usr/bin/gammu sendsms TEXT 7910xxxxxxx -len 400 -text 'Get data'; echo 'Выгрузка из РКН получена' | mail -s 'Выгрузка из РКН получена' kopita\@mail.ru");

Заменив естественно телефон и адрес почты на свои. Вам буде приходить смс оповещение и оповещение на почту. Для первого я использую разлоченый мегафон модем Huawei e1550+gammu, для второго необходимо настроить например exim4. Так же необходимо вписать реквизиты своей организации в сам скрипт.

PS Поскольку я так понял что добрая половина вообще не представляет о чем идет речь, я решил дать разъяснение. Ряд законов обязывает, я подчеркиваю каждый оператор обязан это делать и это не их прихоть! И санкции за его не выполнение очень жестокие в плоть до отзыва лицензии! За банальное не неполучение выгрузки раз в день накладывают штраф в десятки тысяч. А у нас например директор «подарил» его человеку ответственному за выгрузку с рассрочкой в пол года.
Вот перечень законов, кому интересно можете почитать:
Федеральным законом №139-ФЗ от 28 июля 2012 года были внесены изменения в следующие законы Российской Федерации:
Федеральный закон от 29 декабря 2010 года №436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»;
Кодекс Российской Федерации об административных правонарушениях;
Федеральный закон от 7 июля 2003г. №126-ФЗ«О связи»;
Федеральный закон от 27 июля 2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».


Я привел лишь метод который максимально «сглаживает», последствия этих законов. И позволяет не потерять доступ к хосту с заблокированным url-ом.
Не весь ваш https трафик проходит через прокси, а только тот который идет на заблокированный IP. Ко всем остальным https сайтам вы по прежнему имеете доступ без ограничений.
Вас ни кто не собирается обманывать, вы видите левый сертификат и ваше право от него отказаться и не посещать отслеживаемый ресурс. Для рядового пользователя это возможность полноценно пользоваться остальными не заблокированными ресурсами этого хостера на блокированном IP. Все жалобы пожалуйста сюда rkn.gov.ru, а из меня не надо делать зло вселенского масштаба.
@big-town
карма
–7,0
рейтинг –0,3
Самое читаемое Администрирование

Комментарии (70)

  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Тут палка о двух концах. Например, мой провайдер просто рубит сайты полностью, по IP. Закон есть закон. Автор предлагает более гуманный, а главное — недорогой способ соблюдения закона.
      • +7
        Автор предлагает прогонять весь HTTPS-траффик с моими номерами кредитных карт через его squid в открытом виде. За такое нужно сжигать на костре.
        • –4
          Не весь а только если ваш трафик идет на забаненый ип. Вы хоть бы вникли для начала.
        • +2
          Я что-то упускаю, а как можно смотреть сам трафик HTTPS третей стороне без подмены сертификата?
          • +4
            Ну так тут и подменяется серт
          • 0
            А здесь как раз подмена будет и браузер у вас ругнется. Здесь не идет речи о том что бы «обмануть». А как раз о том что бы весь контент кроме забаненой url был вам доступен. Сами прекрасно понимаете что весь интернет держится на виртуальном хостинге. И блок по ип делает очень мнго сайтов недоступными, хотя они и не виноваты.
            • +1
              Ну это я еще могу принять, но скрипом. Но дело в том, что таким образом вы добавляете возможность эксплуатировать вашу техническую возможность для злоумышленника. Например, можно действительно незаметно красть данные карт.

              И вопрос еще один. Если мне не изменяет память, то и сам url по https передается в зашифрованном виде(это вроде как get-запрос). Как все же получается так, что происходит фильтрация https адресов без подмены сертификата.
              • +1
                Подмена как раз есть сертификата. Если мне не изменяет память то бампинг действует так. squid создает коннект и получает открытый ключ, вам отдает свой открытый ключь на котором вы шифруете данные, затем передаете его сквиду, он расшифровыает на своем закрытом ключе проводит анализ и шифрует на открытом ключе сервера и уже передает запрос ему. Так что сервер ни чего об этом не знает, а вот ваш браузер будет ругаться на плохой сертификат.
                • +2
                  Это я понимаю. Но выше вы писали, что:
                  весь контент кроме забаненой url был вам доступен

                  То есть если забанен url на xmp.com, то все остальные страницы так же приходят с левым сертификатом?
                  • +1
                    Да именно так, но это намного гуманней, чем вам запретить вообще к ним доступ. Как это сейчас делают 99%. Для сервера это незаметно, и ни как не должно повлиять на его работу. Это видите только вы.
                    • +1
                      Я конечно понимаю, что вы хотите как лучше, но получается, что это MITM-атака. И снова, только представьте что может случиться, если ваш сервер скомпрометируют. HTTP заворачивайте как угодно, но что до HTTPS — тут лучше отступить, так как безопасность превыше всего.
                      • –1
                        Ну уж если говорить о взломе тут далеко можно уйти. В конечном счете и сайт платежной системы можно взломать. Ну и например как вы себе это видите? Да и навряд ли IP платежных систем когда либо занесут в бан.
                        • +4
                          Ну давайте не будем рассматривать одни лишь платежные системы. Сейчас по HTTPS можно ходить на большинство повседневных сайтов. Например, есть запрос на блокировку страницы в FB. Ваш абонент уже привык, что время-от времени он видит алерты о ненадежном сертификате, и точно так же на автомате игнорирует сообщение, логинится и забывает об этом. Злоумышленник в данном случае запросто может увести учетку.

                          Я понимаю, что пишу тут о сферическом коне в вакууме, но суть соединения по HTTPS в том, что твои данные действительно не уйдут налево, а у вас в данном случае создана потенциальная возможность «воровать и убивать».

                          Я благодарен вам за сознательность, и что вы не блокируете хосты целиком, и все же, считаю, что когда дело доходит до HTTPS — то тут просто не нужно делать ничего.
                          • –2
                            Ну как я уже писал ни чего ни делать мы просто не можем. РКН внес этот урл в список запрещенных и мы должны их блокировать. Не выполнение их требований может повлечь отзыв лицензии. Они сейчас пока в добровольном порядке ставят свои машинки которые ломятся по запрещенном урлам.
                            Ваш не шифрованный трафик по https находиться только в пространстве сквида и на входе и на выходе он шифруется, закрытый ключ со сквида тоже ни как не получить, так что я бы не особо беспокоился в этом плане.

                            Если честно, то меня больше другой вопрос беспокоит. Я даше обращался с этим вопросом в РКН в Москву. А что будет когда этих IP станет например 70000? Их сегодня уже почти 9000? Догадываетесь к чему это может привести?
                            Если хотите я вам могу в личку скинуть ответ который они мне дали.
                            В двух словах «согласно закона… закона… — это проблемы провайдера.»
                            • +3
                              Если я понял вашу позицию, то вы считаете, что делаете меньшее зло, чем зло, которое может делать РКН. Но я имел ввиду, что когда дело доходит до https, то с точки зрения безопасности нужно просто блокировать хост целиком. Да, вот такой я радикал.

                              Что касается того, что трафик все равно шифрованный, то это не столь важно. Я говорю о ситуации, когда пользователь привыкает, что сыпятся алерты от браузера, пользователь считает, что это опять провайдер что-то мутит и все ок. И вот тут-то и кроется проблема. Если все же говорить сохранности доступа к https-хостам, то я считаю, что нужно делать так: предлагаете абонентам скачать ваш корневой сертификат, на основе этого сертификата вы создаете все сертификаты для заблоченых хостов(на сторонней машине, ключи и сертификаты выгружаете на проксирующий сервер), и трафик подписываете конкретно этими ключами. Так хотя бы у пользователей, которые скачали ваш корневой сертификат не будут сыпаться алерты, и они не будут «привыкать» к ним.
                              • 0
                                Ну если уж так критично, то собственно вы сами предложили решение проблемы. У каждого прова есть свой форум на нем можно и выложить. Кстати а почему бы и нет :)
                            • –2
                              закрытый ключ со сквида тоже ни как не получить
                              Ага.

                              Их сегодня уже почти 9000
                              Всех IP раза в два меньше, на самом деле. А относящихся именно к https-записям, всего несколько сотен.

                              Разделите правила, и https можно будет смело резать, там один мусор. Изредка может понадобиться добавить адрес в белый список, но об этом будут кричать везде, не пропустите.
                            • +2
                              Мне вот всё интересно, как CA относятся к провайдерам, использующим свои авторизованные сертификаты при подмене сертификата целевого IP? По идее это же прямое нарушение правил использования сертификата, разве нет?

                              А вообще — если не будет доступа к https каких-то адресов, то народ быстрее поймёт пагубность закона… может и шевелиться начнёт.
            • 0
              удалено.
      • +4
        Палка тут об одном конце. Закон противоречит конституции — помогать его исполнению аморально.
    • +1
      Я не способствую, и писал что сам не ввосторге от этого гемора. Темболее что он практически не действенен. Но по закону каждый пров обязан это делать.
      А написал я это потому что например есть мои колеги которые блочат по ип вырубают из сети целый хост, так пусть уж лучше так.
  • 0
    Если не затруднит, спрячьте часть статьи под кат, пожалуйста.
    А за статью спасибо!
  • +1
    А насколько законно так делать?
    • 0
      А насколько законно ставить СОРМ-ы? :) Это пусть законодатель расхлебывает. У меня в списках есть https-ссылка которую туда поместили пиплы и РКН, значит они отдавали себе отчет о том что делают.
      • +4
        Неужели Роскомнадзор предписывает вам подменять сертификаты? Не верю.
        А вообще народная мудрость гласит что дурак не тот кто принимает дурацкие законы, а кто спешит их выполнять.
        • 0
          РКН предписывает блокировать зашифрованные урлы, а как вы их будете блокировать не имея расшифрованного трафика? И уж если вы меня завуалированно назвали дураком, и вы такой умный — предложите свое решение. Я весь во внимании. Я свою позицию объяснил по данному поводу. Весь этот закон приведет к тому что инет встанет. А действие его нулевое. Сегодня даже школьник знает о прокси и анонимайзерах.
          • +5
            >РКН предписывает блокировать зашифрованные урлы, а как вы их будете блокировать не имея расшифрованного трафика?

            Вот у роскомнадзора и спросите, а не изобретайте способы борьбы с клиентами, которые вам платят деньги.

            >и вы такой умный — предложите свое решение.
            Ничего нового: волокитить, саботировать, называть «героев» поименно и громко.
            • –1
              Вот у роскомнадзора и спросите, а не изобретайте способы борьбы с клиентами, которые вам платят деньги.


              Во млин пипец, договорились, то есть это я всемирное зло???!!! :)))
              • +4
                то есть это я всемирное зло?
                Конечно нет, вы «просто выполняли приказ».
                • –2
                  Может быть вы готовы вместо вашего оператора выплачивать штрафы за каждый незаблокированный URL? А может быть вы готовы помочь зарегистрировать новую лицензию и заново пересдать всю проектную документацию, если у него отберут лицензию? Блокируешь по IP — плохо, лезешь в https — тоже плохо. Остаётся только закрываться. А кто тогда останется? Ростелеком? Так они тоже блокируют и лезут в трафик.

                  Если вам интересно, в реестре примерно 15 ссылок на отдельные ролики YouTube. Если блокировать доступ по HTTPS без залезания в трафик, то блокируется весь YouTube и еще часть других сервисов Google. До свидания, встраиваемое видео, я буду по тебе скучать.
                  • 0
                    Они там по http
                    • 0
                      Фильтрация обычно работает таким образом: если в реестре указан URL или домен, определяются все его IP и весь трафик по этим IP направляется на фильтр (с помощью фаервола или статических маршрутов). У всех фильтры сделаны по разному, в моем случае это squid. HTTP фильтруется без проблем, поскольку получить URL из запроса и отфильтровать по нему не составляет труда. HTTPS приходится или блокировать полностью, или подменять сертификат, чтобы расшифровать соединение и выяснить URL.

                      Конечно можно разделить фильтры и направлять http-ссылки на один фильтр, а https-на другой. Тогда домены, на которые в реестре нет https:// url не будут страдать.
                      • 0
                        Повторюсь, ютуб по https блокировать никому не нужно — все ссылки на него в реестре по http.
                        • 0
                          А вы уверены что завтра их не будет по https?
                          • 0
                            Пока ютуб не сделает hsts или 301 на http — их там не будет.
                            А как сделают — я запасусь попкорном и посмотрю на соблюдение законов в РФ, будет очень показательная история.
                          • 0
                            вот завтра и поговорим об этом
                            • 0
                              Завтра наступило уже сегодня в реестре 628 url https
                  • –3
                    Я так понимаю вы тоже админом трудитесь у провайдера? Видно сразу что пониаете о чем идет речь. Хоть один человек который зраво смотрит на проблемму.

                    На самом деле РКН лучше не злить, если попадете в немилость то будте уверены вас закроют и новую лицензию вы замучаетесь получать. Мы даже штраф за неполучении выгрузки платили, хотя прекрасно знали что могли его оспорить в суде и 99% процентов бы выиграли дело. А позже еще оказалось что выгрузка не приходила не по нашей вине.
                    Здесь самое страшное потерять клиентов и следовательно их доверие, так как на период приостановления лицензии вам деятельность вести не дадут.

                    А теперь у меня вопрос к остальной части диспута. Может я чего то недопонимаю, но что вас так беспокоит этот присловутый https. Мне например глубоко плевать, пусть те кому это надо смотрят и видят куда я ходил и что качал.
                    Сормы нас всех все равно в скором времени заставят ставить, а многие их уже поставили. И уж будте спокойны там вас мониторить буду по полной, без всяких разрешений.
                    И уж если вам так нужна анонимность есть такие вещи как Тор,vpn,i2p-сеть.

                    • 0
                      Люди недовольны тем что вы лезете в их «приватный» трафик, и я с ними полностью согласен. Но они расчитывают что HTTPS обеспечит им приватность и безопасность, а получается что это не так. Законно это или нет, но когда кто-то может получить доступ к твоему трафику — это очень неприятно.

                      И, друзья, не надо делать из провайдеров злодеев. Провайдеры выкручиваются как могут. Кто-то до сих пор тупо режет по IP, кто-то фильтрует HTTP, но блокирует HTTPS, кто-то вот сертификаты подменяет. Но еще раз повторю: провайдеры не могут не исполнять требования роскомнадзора, а роскомнадзор не может не исполнять своих обязанностей предписанных законом.
                    • +1
                      k0ldbl00dВы всё верно пишет, в т. ч. и про приватность и именно по этой причине не блокировка HTTPS или блокировка по IP или блокировка с помощью DNS являются приемлемыми способами, а подмена сертификатов — нет.

                      Вот и всё, при этом никто никого злодеем не делает, просто одно дело исполнять закон, а другое дело создавать огромнейшую дыру в безопасности. Ибо даже если распространять сертификаты на юзеров, а не приучать его к постоянно невалидным сертификатам, то всё равно получается единая точка отказа, овладев которой можно прослушивать ВЕСЬ защищённый трафик ВСЕХ пользователей провайдера.

                      В общем суть в том, что просто не надо так делать.

                      P.S. да и вообще такие решения пригодны для мелких сетей, даже на предприятиях это уже не очень этично, а вот у себя в домашней локалке так в HTTPS трафик можно лазить, особенно если дома виндовый домен и проблем с доставкой сертификата никаких.
                  • 0
                    Например можно выдавать заглушку на которой описать нелегитимные действия роскомнадзора и выдать инструкцию по покупке VPN, можно даже сделать скидку на тариф при этом. На той же заглушке описать все последствия MITM и дать ссылочку «я понимаю что все мои данные, включая пароли, номера кредитных карт и прочая информация будет передаваться в открытом виде и может быть перехвачена злоумышленником, пустите меня на ресурс». Вполне хорошее решение, конечно лучше было бы просто собраться и прочистить мозги роскомнадзору и прочим причастным, но как решение для бедных такое сойдет.
                    • 0
                      Боюсь это приведет к ускорению принятия новых законов, запрещающих средства обхода блокировок. Кроме того, ни один оператор в здравом уме не станет описывать на заглушке пути обхода. Ссориться с надзорной организацией — всё равно что подписать документы о ликвидации собственной организации.

                      Действия Роскомнадзора легитимны — они действуют в рамках существующих законов и, по сути, только контролируют исполнение этих законов операторами. Dura lex. Так что прочищать мозги надо не им, а тем кто такие законы принимает.
                      • +2
                        Гестапо в фашисткой Германии и советское КГБ тоже действовали в рамках существующих законов.
                        Не надо оправдывать Роскомназдор, они проявляют подобное рвение потому что имеют личную заинтересованность.
              • 0
                Нет, вы не всемирное зло, просто вы по собственной инициативе занялись вещами на грани уголовщины. Сертификаты ведь предназначены не для того, чтобы их подменяли.
                • –1
                  Я уверяю вас что к разработке сквида и ссл бамбингу я не имею ни какого отношения. :) Уголовщины здесь абсолютно ни какой нету. Максимум попираются ваши конституционные права, есть такая забавная книжонка. :) Вот если я воспользуюсь перехваченными данными в корыстных целях, вот здесь начнется все с 272 УК РФ.
                  • –1
                    Ну это зависит от юрисдикции, кое где само по себе ваша попытка выдать себя за другого путем подмены сертификата классифицируется как «мошенничество».
                    Да и «роскомнадзоры» они не вечны.
                    • 0
                      Да и «роскомнадзоры» они не вечны.Ой как я бы этого хотел, но вот только они с каждым годом, все удавку затягивают и плодятся. А на петиции (которую я кстати подписал тоже) они плевать хотели. Скоро я думаю весь интернет буде состоять их соцсетей а остальное будет блокировано :). Вот тогда я точно уволюсь и отключюсь от ру-паутины. :))).

                      Что касается здесь 159-ой статьи вы абсолютно не правы. Это я вам как юрист говорю, у меня одно из высших юридическое. Нет здесь состава преступления.
                      • –1
                        Ну вот представьте себе гипотетическую ситуацию, что у вас наступило прозрение и вы решили покинуть «страну роскомнадзоров». Приходите вы в приличное место место за визой, а вам там отказ в ней по причине того чем вы сейчас занимаетесь на основании хотя бы вот этой самой статьи. Вы им даже сможете сказать, что вы юрист, и что 159-ую статью вы не нарушали, но у них будет свое понимание.
                        • 0
                          Вы помоему совсем не о том, но тем не менее. Мысли покинуть эту страну меня не покидают и по сей день. Прочитайте PS под статьей. Я не могу этого не делать, поскольку я живу пока в России и следовательно обязан подчиняться ее законам.
                          • +1
                            Никакой закон не заставляет подменять сертификаты — это ваша собственная инициатива. Лучше честная страница «Для доступа к данному ресурсу включите VPN», чем подлая подмена сертификата.
                          • +1
                            Гипотетичность ситуации заключается не в том, что у вас появятся мысли покинуть эту страну, а в том, что получите отказ по этой причине.
                            Законы России вам предписывают подменять сертификаты? Нет
                            У вас есть на этот счет распоряжение роскомнадзора? Тоже нет
                            Потому это ваша и только ваша инициатива, и далеко не бесспорно, что ее целью является исключительно выполнение закона. Со точки зрения стороннего наблюдателя ваши оправдания выглядят в духе «господь велел делиться».
              • +1
                Не, просто частное воплощение этого зла. Я бы лучше уволился, чем так зашквариться.
            • 0
              У роскомнадзора на этот счёт довольно простые рекомендации: как хотите так и блокируйте. В их задачи не входит организация блокировок, только ведение реестра и контроль за выполнением операторами требований ФЗ.
          • +1
            > вы такой умный — предложите свое решение. Я весь во внимании.
            Решение уже предложили в одном из первых комментариев. Оно связано со сжиганием на костре. Я бы предложил более гуманный современный вариант — изоляцию от общества.
  • +2
    Если откровенно, для меня неприемлема ситуация, когда, пусть даже только в памяти одного отдельно взятого Squid'а, будет мой предположительно зашифрованный трафик.

    Так вот и приходится начинать пользоваться всяческими VPN-ами и прочими способами сохранить трафик в неприкосновенности, раз такая чудная экспозиция всех моих данных, которые, как я понимаю, не предполагались для всеобщего доступа.

    Вам не приходили жалобы от клиентов насчёт официально внедрённого MITM?
    • –2
      Атака посредника, атака «человек посередине», MITM-атака (англ. Man in the middle) — термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.

      А вы видите сообщение о левом сертификате. Неподходит под определение. Я дописал статью PS кому интересно прочитайте конец.
      • 0
        > Все жалобы пожалуйста сюда rkn.gov.ru, а из меня не надо делать зло вселенского масштаба.

        Кто говорит о вселенском масштабе? И где в rkn.gov.ru прямые указания нарушать конституционное право граждан РФ? Это сугубо ваша инициатива, верно?

        Ради исполнения закона, вы нарушаете конституционное право и приводите подробную инструкцию для других желающих его нарушить. Это вполне обыденное зло, для которого есть сооотв. статья в соотв. кодексе.

        (в любом случае вы не в состоянии помешать человеку с головой на плечах посетить какой угодно ресурс в сети; лучше уж блокируйте по IP, так хоть не придётся быть меньшим злом).

        «Я всего лишь выполняю приказы», как вам уже сказали, не аргумент. Ничего личного.
        • –4
          Прекратите лицимерить, вы прекрасно знаете что всем плевать на ваши права в этой стране. Я это понял давно с тех пор как развалили СССР, хотя за всенародное голосование было за его сохранение.
          Чем вам не нравиться мой метод блокировки? Видите левый сертификат не ходите и считайте для себя что он блокирован по IP.

          в любом случае вы не в состоянии помешать человеку с головой на плечах посетить какой угодно ресурс в сети

          Да где вы видите что я собираюсь кому то что то помешать, я уже высказывался, что этот закон абсолютно не результативен и его могут обойти даже школьники.

          • +1
            О лицемерии можно было бы говорить, если бы я выступал со стороны властей.

            А в данном случае вы усугубляете — для пользователя — то, что и так мешает ему нормально использовать Интернет. При этом — обратите внимание — вполне осознанно нарушаете конституционные права пользователей. Что вовсе не смешно.

            Присоединяюсь к вопросу, для какого именно провайдера вы сделали подобный фильтр? Спасибо.

            Да, точности ради: я использовал выражение MITM, а не «MITM attack». Слово «атака» добавили вы сами, что существенно меняет смысл цитаты.
  • +3
    Если вы так уж беспокоитесь об абонентах — то почему же не блокируете сайты по днс, не отключая возможность указать 8.8.8.8?

    Этот способ в вашей статье — он не лезет ни в какие ворота, бан по ip и то лучше.
    • –6
      Вы мне будите указывать как мне блокировать?! Да именно вас и забыл спросить!

      бан по ip и то лучше

      Да неужели!? И чем же!?
      • +2
        Не хамите.

        Да, я как пользователь, ушел бы от такого провайдера после тестового периода.
        • –3
          Вот именно что вы судите как пользователь. Все провайдеры сейчас делают блокировки!
          • +1
            Однако почти никто не рискует подменять сертификаты.

            И не оттого что не имеют возможности, просто это аморально и на грани закона.
  • +2
    Скажите, пожалуйста, у какого провайдера вы работаете. Страна должна знать своих героев!
  • –6
    У «рога и копыта» на свиноферме, не переживайте раз вам так нравиться блокировки по IP РКН уже ввел теги, скоро действительно надобность блокировать по url-пропадет, я думаю вы только тогда будете счастливы. Сделали из мухи слона, можете больше не коментровать я не буду отвечать на весь этот неадекват.
  • 0
    А как бороться с провайдером который занимается такой хернёй? У меня например не работает ни где авторизация live id и ещё пара сайтов из-за подмены сертификатов. А они пишут отписки в стиле «а вы live.com пишите с www.»
  • 0
    Вы не из ТТК, случаем?
    image
  • 0
    А что говорить о DPI системах?
    Почитав выводы в комментариях можно сказать только одно, что надо делать новую революцию, разрешить всем и вся, а там куда вывезет.
    Смешно.
    Вы все взрослые люди и должны понимать что если государство не будет контролировать основные средства предоставления информации то это государство перестанет существовать.
    Касаемо статьи то статья очень полезная.
    Есть вопрос. Каков объем трафика выдерживает это решение?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.