Сайт рабочего стола MATE (https://www.opennet.ru/opennews/art.shtml?num=46184) (mate-desktop.org) оказался недоступен для пользователей из Российской Федерации, так как IP-адреса системы доставки контента Cloudflare (104.28.17.61 (https://reestr.rublacklist.net/search/?q=104.28.17.61), 104.28.16.61 (https://reestr.rublacklist.net/search/?q=104.28.16.61)), через которые был организован доступ к ресурсу, попали (https://reestr.rublacklist.net/rec/250044/) в реестр запрещённых сайтов. Запись была добавлена в соответствии с решением ФНС по блокировке online-казино. Так как запрещённый сайт был доступен по HTTPS, то вместе с ним под блокировку попали и другие легитимные сайты, доступ к которым осуществляется через те же IP.$ host mate-desktop.org
mate-desktop.org has address 104.28.17.61
mate-desktop.org has address 104.28.16.61URL: http://blocklist.rkn.gov.ru
Новость: https://www.opennet.ru/opennews/art.shtml?num=47700
Это эпический фейл!
Да, ведь у меня, к примеру, всё работает и сайт открывается (СПб).
И ЧТО??
Наверное ему не нравится и он хочет чтобы пров попал на штраф и исправил эту "недоработку".
Не беспокойтесь, сейчас поправим.
Уже выслал группу для проверки
> Это эпический фейл!Можно подумать, первый раз.
И они ещё борются за почётное звание «дома высокой культуры быта», а?..
Уже побороли его :)
Звание желтого дома они уже получили. Еще после того как 127.0.0.1 забанили.
Да ладно! Это победа! Чем меньше народа пользуются этим ваши интернетом, а смотрят телевизор, тем лучше.
> Да ладно! Это победа! Чем меньше народа пользуются этим ваши интернетом, а смотрят телевизор, тем лучше.Они борются за посещаемость театров. А то артисты голодают!
Я если честно не понимаю этого. Про блокировки отдельный вопрос, который сейчас обсуждать не хочу. Но при аренде VPS за 5$ дают бесплатный IPv4 адрес.
Они за кеширущим CDN'ом, грубо говоря. За 5$ вы этого не получаете.
CF - это не только кеш. Это ещё и бесплатная и хорошая (для бесплатной) DDoS защита.
> CF - это не только кеш. Это ещё и бесплатная и хорошая
> (для бесплатной) DDoS защита.А мне хецнер к впске за 5$ обещает и защиту от ддос.
Я тебе тоже могу много чего пообещать.
Только не для тебя, а для себя - вот в чем тонкость.
для себя у них есть опция включения платы за траффик, если он превысит пороговое значение.
При хорошем ддосе - превысит, гарантирую.поэтому их ddos-защита - она не для себя, она для дорогих дешевых клиентов из РФ, которым РКН пользовать cloudflare не велит. Говорят, в целом, даже и работает. Видимо, нынешним хостерам приходится бороться даже за таких клиентов.
вам давно пора уже свой чебурнет запустить...
Все правильно, сначала не хотим продвигать меши и даркнеты, а потом ноем что нас блочат.
Даркнет Дима Богатов продвигал. Теперь даже хорошие адвокаты, к сожалению, не гарантия.
> вам давно пора уже свой чебурнет запустить...Мы пытаемся. Нам деньги на это уже n раз выделили. Но пока ни разу до инфраструктуры они не дошли. Надеемся. Ждём.
Под чебурнет много не напилишь. А тут - закон Яровой с хранилищами для него, штрафы провайдерам, поисковикам, ОРИ, рынок аффилированных поставщиков DPI, железяк надо на триллионы. Красота!
Вы не понимаете их целей и психологии. У власти бизнесмены. Только бизнес этот с жирным знаком минус для тех, кто будет за все это платить. То есть для всех нас.
> У власти бизнесмены. Только бизнес этот с жирным знаком минус для тех, кто будет за все это платить.Тогда это не бизнесмены...
Эй, параноики, вот вам новая теория заговора: Microsoft проплачивает российским судам блокировку сайтов с GNU софтом.
> Эй, параноики, вот вам новая теория заговора: Microsoft проплачивает российским судам блокировку сайтов с GNU софтом.Зачем сразу "проплачивать"? Судя по комментариям на этом ресурсе, идейных, с пукан^W взглядом горящим, тоже достаточно.
И вообще: "Никогда не недооценивай готовность ближнего сделать гадость, просто потому что он может!" (с)
> Эй, параноики, вот вам новая теория заговора: Microsoft проплачивает российским судам блокировку
> сайтов с GNU софтом.А мой провайдер не заблокировал. Мой провайдер вообще практически ничего не блокирует. Давай, развивай теорию заговора дальше.
это пока к нему не постучали в дверку
Мой тоже ничего сам не блокирует.
У него просто канал до Москвы предоставлен Билайном, а Билайн... (далее из печатных слов только "OctoberCMS").
А, октябрь тоже под нож из-за этого попал? Сейчас заработал вроде.
Сайт рабочего стола MATE ни куда не попадал.
Если провайдер блокирует доступ на основе ip адреса, то это проблема этого провайдера.
Нет, это проблема законодательства отдельно взятой страны.
Ну ты-то лучше в законодательстве разбираешься.
Как вы себе представляйте блокировку HTTPS без полной блокировки IP? DPI-системы работают только для HTTP.
> Как вы себе представляйте блокировку HTTPS без полной блокировки IP?Очень легко. man SNI. только оборудование стоит 1.5млн рублей и даже у одного провайдера в одном районе оно может стоять, а в другом (где меньше абонентов) - нет.
кстати, rfc3546 является прекрасным примером, как мелкий и совершенно ненужный улучшизм, как казалось наивным авторам (прочитайте раздел "security impact") совсем безобидный, внезапно, открывает дорогу для определенного типа mitm-атак (попутно позволяет еще и всем желающим узнать, какой на самом деле сервер тебе был интересен).поэтому отрывайте руки улучшателям систем безопасности, пока они маленькие.
P.S. "оборудование" я тебе на коленке выпилю гораздо дешевле полутора лямов. (правда, подозреваю, давно уже кто-нибудь выпилил) Обращайся, если что.
> поэтому отрывайте руки улучшателям систем безопасности, пока они маленькие.А типа без SNI догадаться на какой сайт ты идёшь было нельзя, если учесть что в этом случае 1 сайт == 1 IP
> P.S. "оборудование" я тебе на коленке выпилю гораздо дешевле полутора лямов. (правда,
> подозреваю, давно уже кто-нибудь выпилил) Обращайся, если что.1) провайдерам нужна бумажка в дополнении к оборудованию.
2) у тебя есть завод и ты волочешь в дизайне микроэлектроники? на линуксе то любой дурак файрвол настроит, только сотни гигабайт трафика он не потянет.
> 1 сайт == 1 IP
> cloudflareяснопонятно
> > 1 сайт == 1 IP
> > cloudflare
> яснопонятноНе докапывайся. Мысль понятна. Без SNI по IP-адресу можно понять на какой сайт ты ходил.
>> > 1 сайт == 1 IP
>> > cloudflare
>> яснопонятно
> Не докапывайся. Мысль понятна. Без SNI по IP-адресу можно понять на какой
> сайт ты ходил.говорят тебе - на cloudflare. Им - и так понятно, они честный mitm (в смысле, добровольно)
Причем показать пользователю при этом не страшное-красное-окно-во-весь-экран полное неведомой херни, а нормальное предупреждение, что траффик, вообще-то, не совсем идеально тут защищен - было бы вполне прилично.Ну, это в идеальном мире, где не только нет sni в его нынешнем виде, но и браузеры писали не те, кто их нынче пишет.
Без SNI работа CloudFlare затруднительна. SNI нужно для того, чтобы сервер использовал ssl-сертификат, выписанный на конкретное доменное имя. Так что для того, чтобы cloudflare работал с https без sni нужно, чтобы все доменные имена, им обслуживаемые, были вписаны в один ssl-сертификат.
> SNI нужно для того, чтобы сервер использовал ssl-сертификат, выписанный на конкретное доменное
> имя.в случае cloudflare: "чтобы обмануть пользователя, который думает что установил безопасное соединение с тем сервером, к которому обращается, а на деле - там mitm в виде cloudflare - пусть даже и одобренный владельцем того сервера (впрочем, чаще всего это веб-недодизайнер, не ведающий что творит)". 'поправил, не благодари'(c).
> Так что для того, чтобы cloudflare работал с https без sni нужно
выкинуть в помойку современные браузеры, а тех кто понаписал там современный код, выводящий "большое красное окно с неведомой херней" - занести в черные списки и удалять их комиты, тикеты и любые попытки выйти на контакт с вменяемыми разработчиками не читая, потому что это "полезные идиоты", которых за версту нельзя было подпускать к разработке чего-либо security-related.
И вернуться к нормальным всплывающим диалогам, человеческим языком объясняющим, что не так с этим сертификатом, и предоставляющим пользователю решать, как быть дальше.
(если пользователь идиот и не думая нажимает ok - это его проблемы, и они совершенно не должны были становиться проблемами вменяемых людей, умеющих читать)
>> поэтому отрывайте руки улучшателям систем безопасности, пока они маленькие.
> А типа без SNI догадаться на какой сайт ты идёшь было нельзя,
> если учесть что в этом случае 1 сайт == 1 IP1 сертификат. Иметь за ним мильен сайтов ничто не мешало - ценой либо звездочек, либо воплей браузера, что шел на одессу а вышло что наxер. Мы вообще-то так и делали в начале 2000х, ip были дороги, wildcard еще не изобрели вовсе, юзера на автопилоте жали ok, все норм.
Но это больше был намек для пиoнeров, что они при этом еще и палятся (там домен - клиртекстом в самом начале хэндшейка идет, это тоже для них).>> P.S. "оборудование" я тебе на коленке выпилю гораздо дешевле полутора лямов. (правда,
>> подозреваю, давно уже кто-нибудь выпилил) Обращайся, если что.
> 1) провайдерам нужна бумажка в дополнении к оборудованию.не, что ты. Это ж не сорм, ему сертификаты не нужны. Провайдер ставит у себя тплинк-за-300-лямов (гугли), он сертифицированный, но тебе его дают пока вроде как бесплатно, и тот по командам из РКНа сам проверяет, как хорошо ты его защитил от интернета. Если защитил плохо - у товарищей к тебе возникают ВОПРОСЫ. До штрафов обычно дело не доходит.
А чем и как - верчу как хочу. (ну, еще есть претензии к наклейке ростеста, но это все и на цисках переклеивают еще с той самой 2500 снятые, на которой того провайдера подняли в 2000м году, или при налете прячут под фальшполом, это отдельная от РКН история и люди придут другие)> 2) у тебя есть завод и ты волочешь в дизайне микроэлектроники? на
не, ржавый сервер с линуксом. Сотни гигабайт на него не придут, если только у тебя вся сеть не на тупoлинках и серверах с линуксом (впрочем, второе-то можно, первое может и лопнуть).
За небольшие деньги я тебя не только проконсультирую, как, но и помогу настроить ;-) Будет где-то 10-40rps на большой сетке, не больше. У нас народ законопослушный.> линуксе то любой дурак файрвол настроит, только сотни гигабайт трафика он
Ну это будет очень дурацкий файрвол - в лучшем случае у пользователя будет просто виснуть сессия, и он будет звонить в техподдержку (которой доступ к выгрузкам не положен по штату, поэтому она не факт что вообще вкурит как его правильно послать)
Правильно это дело все же проксить (лучше бы через user-таргет iptables), но аккуратно - чтоб любителей обоев к mate не пугали вопли о tampered session от нынешних где-не-надо параноящих браузеров.Вот у моего провайдера, например, почти нормально (почти, потому что sni он, конечно, не разбирает - я даже догадываюсь, чем) - при попытке открыть не сессия виснет, а высовывается товарищ майор и говорит "щас ты у меня допереключаешься!".
Я к провайдерам отношения не имею, но когда я спросил какого баните по IP, мне четко ответили, оборудование 1.5млн, в этом районе не окупится. Ставить нужно не что попало, а чтоб с бумажкой.За что купил, за то и продаю
> Я к провайдерам отношения не имею, но когда я спросил какого баните
> по IP, мне четко ответили, оборудование 1.5млн, в этом районе не
> окупится.это до первой жалобы клиента, что они плохо защищают его от интернета. В следующий раз намекните им, что я меньше беру.
> Ставить нужно не что попало, а чтоб с бумажкой.
не, не нужно. Зонд поставил (зонды, по числу точек) - и спи (пока?) спокойно.
Это для сормов нужна бумажка - а то ты там понавыпиливаешь хрен знает чего, а товарищмайору что - под каждого подстраиваться?> За что купил, за то и продаю
лажу тебе впаривают. Ну или может (судя по том что еще и "по районам" зачем-то) у них вообще все плохо, не только блоклистер из соплей и палок. asr9922, который у меня всей фигней занят, $350000.00, а нужны же еще лайнкарты (или не? там вроде на RP были порты). А если у них вместо этого ядро сети из дряхлой 7600, которая и так еле держит два апстрима, то может и лопнуть. (с другой стороны - тогда и апстримы по гигу каждый, а это уже и писюк подороже вытянет без необходимости что-то сложное городить)
> это до первой жалобы клиента, что они плохо защищают его от интернета.В роскомнадзор за избыточность блокировки или в роспотребнадзор за произвол и нарушение условий договора об оказании услуг связи.
>> Ставить нужно не что попало, а чтоб с бумажкой.
Это, похоже, отмазка. Пока их не ограничивают в средствах и способах, лишь бы не пропускало. За пропуск - штраф, контроль автоматизирован, поэтому решили немного "перебдеть" занедорого.
> В роскомнадзор за избыточность блокировки или в роспотребнадзор за произвол и нарушение
> условий договора об оказании услуг связи.По идее это вообще нарушение базовых прав человека прописанных в декларации ООН.
> Очень легко. man SNI.Там кстати написано что _расширение_ SNI не обязательно к реализации.
>> Очень легко. man SNI.
> Там кстати написано что _расширение_ SNI не обязательно к реализации.Да, но фактически браузер отправляет его всегда на всякий случай, даже если на сервере это отключено.
> Да, но фактически браузер отправляет его всегда на всякий случай, даже если
> на сервере это отключено.читайте внимательно - он не может ни проверить заранее, включено или нет, ни переиграть по ходу пьесы. Так уж удачно "расширили" протокол.
Ну и в "security impacts" загляните - степень наивности этих ребят поражает.
>> Да, но фактически браузер отправляет его всегда на всякий случай, даже если
>> на сервере это отключено.
> читайте внимательно - он не может ни проверить заранее, включено или нет,
> ни переиграть по ходу пьесы. Так уж удачно "расширили" протокол.
> Ну и в "security impacts" загляните - степень наивности этих ребят поражает.Про то, что SNI идёт сразу в ClientHello я в курсе, импактс не читал, но что со SNI что без левый человек всё равно легко и непринуждённо поймет на какой сайт ты пошёл.
Существует недорогой вариант реализации для относительно небольших провайдеров.
IP-адресов в реестре не особо много (пока, хехе). Зароутить только тот исходящий трафик, в котором destination IP входит в список из реестре и destination port = 443, в отдельную внутреннюю подсеть, а там все пропустить через кластер из обычных писюков со Squid-ом и SslBump, который вполне себе умеет смотреть в SNI.
Вот пропишу я себе в SNI какой-нибудь sdn3498567-google.com или вообще оставлю пустым, что тогда?
тогда жопа. сервер на том конце может с легкостью просто уронить соединение - "не знаю, кто это - работать не буду" а может высунуть тебе хз чей сертификат, на что твой "безопастный" браузер среагирует неведомо как (зависит от массы побочных явлений) - от показа тебе большой-красной-страницы-с-неведомой-херней до непоказа страницы без диагностики вообще.при том что внутри http по прежнему передается настоящее имя нужного сайта, а секьюрить в случае работы через cdn и так заключается в полном доверии хозяину cdn'а, и пох какой из честно-доверенных-ему сертификатов он тебе покажет в дырочку.
так что наслаждайтесь вашим новым знанием о старой дыре в tls, поделать с этим вы все равно ничего не можете.
> сервер на том конце может с легкостью просто уронить соединениеСервер на том конце, скажем так, дружественный.
> на что твой "безопастный" браузер среагирует неведомо как
Браузер вообще не в курсе, что там после него творится.
> внутри http по прежнему передается настоящее имя нужного сайта
HTTPS. Нет имени, только IP. Имена-в-IP в другом месте получаем. :)
> секьюрить в случае работы через cdn и так заключается в полном доверии хозяину cdn'а
Нету cdn'a.
Вопрос: что скажет провайдерский DPI? Будет доверять SNI? А если он вообще пустой?
> Вопрос: что скажет провайдерский DPI? Будет доверять SNI? А если он вообще пустой?зависит, вестимо, от того, кто писал и как настраивал.
тот что за полтора ляма (и, забыли, 600000 в год) - вероятнее всего скажет, что тут какая-то херня.
наколеночному на линуксе ресолвинг проверять некогда, непохоже на то что искали - хрен с ним, неуловимым джо.если вообще пустой, стоит дропнуть пакет - это неправильный браузер, должен быть либо непустой, либо не быть вовсе.
Еще встречал такое, когда клиент отдает в поле sni не domain name, a ip (то ли ip уже в адресную строку браузера вводили вместо domain name, то ли еще чего).
Насколько это нетипично с т.з. соблюдения стандартов и общепринятой практики, и стоит ли на это как-то обращать внимание "блюстителям интернетов"?
тоже дропаем смело, это нарушение rfc, да и сертификатов таких уже пять лет не бывает.
(гусаров-самоучек с самодельным CA никому не жалко)
Поздравляю, ты заново изобрел meek.
Нет, Александр Евгеньич, ты не угадал. :)
> Поздравляю, ты заново изобрел meek.не надо его заново изобретать - он жутко уродлив и неэффективен (из-за _правильного_ подхода к скрытию истиного смысла траффика, но, к сожалению, ценой безобразных задержек и потерь полосы. А что это надолго поможет от нынешних китайских чудес - очень навряд ли, они обучаемые), а смысла в торе для лазания по обычному инету практически никакого.
Мой провайдер делает это через MITM, тупо подменяя сертификат на свой, себе же выданный.
> Мой провайдер делает это через MITM, тупо подменяя сертификат на свой, себе же выданный.Имя, сестра, имя!
> Мой провайдер делает это через MITM, тупо подменяя сертификат на свой, себе
> же выданный.как будто если мы тебе предъявим выданный (нам, где мы возьмем другой) thawte, ты обрадуешься.
>> Мой провайдер делает это через MITM, тупо подменяя сертификат на свой, себе
>> же выданный.
> как будто если мы тебе предъявим выданный (нам, где мы возьмем другой)
> thawte, ты обрадуешься.comodo, дружок, comodo
> comodo, дружок, comodoне надо обижать комода. Они занятны именно тем, что при дружбе с ними можно было предъявить _свой_ сертификат _того_сайта_, который в sni, подписанный настоящей комодой.
но этот сервис предоставляется только истиным друзьям правды, а не каким-то там местечковым провайдерам.
Существует RFC 6066: Transport Layer Security (TLS) Extensions: Extension Definitions, данный стандарт определяет в числе прочих Server Name Indication.Вопрос в стоимости Deep Packet Inspection устройств и требуемого их количества для выполнения блокировки.
Извини, на складе были только швабры с длинной ручкой. За швабры с короткой надо доплачивать отдельно.
> Извини, на складе были только швабры с длинной ручкой. За швабры с
> короткой надо доплачивать отдельно.какие-то вы неизобретательные. Если клиент хочет с короткой - запихаем ему швабру не ручкой, а боком, все для его удобства. За ширину изделия оператор ответственности при этом не несет.
>Как вы себе представляйте блокировку HTTPS без полной блокировки IP?Элементарно! Просто не блокировать https. И http. И вообще ничего не блокировать.
>>Как вы себе представляйте блокировку HTTPS без полной блокировки IP?
> Элементарно! Просто не блокировать https. И http. И вообще ничего не блокировать.здравствуйте, ваша лицензия на оказание услуг передачи данных населению - внезапно превратилась в тыкву. Скромно напоминаем, что оказание подобных услуг без лицензии (помимо предусмотренной за него непосредственно административной ответственности) представляет собой "незаконное предпринимательство" и является уже и уголовно наказуемым деянием (мы, если что, не при делах, это все товарищ майор).
Новую оформлять вы будете вечность, а ваши клиенты, тем временем, разбегутся по законопослушным провайдерам.
Тогда я ухожу от вас на другую планету.
>здравствуйте, ваша лицензия на оказание услуг передачи данных населениюИ? Задача «блокировать, чтобы ничего лишнего не сломать» — она изначально некорректно поставлена. Нельзя одновременно одну и ту же вещь ломать и не ломать.
Оттого и проблемы все - вместо того чтобы бороться за полный запрет блокировок вне зависимости от типа контента, люди вопят о механизмах блокировки и глубине погружения швабры. Это же логично - есть сайт с противоправным контентом, ну так это замечательное доказательство - сажайте-наказывайте владельца/разместившего контент и так пока не поумнеет, но вместо этого блокируют кучу всего. Вывод простой, для этого система и создавалась для политических и коррупционных целей.
По идее цензура запрещена конституцией РФ. Но гаранту конституции это очень уж неудобно, поэтому тут кое-кто обещался подправить ее задним числом.
> Сайт рабочего стола MATE ни куда не попадал.
> Если провайдер блокирует доступ на основе ip адреса, то это проблема этого
> провайдера.Это проблема пользователей
Согласен, новость ни о чем. Блокировать надо не по IP, а по домену
> был выявлен сайт <данные изъяты>, на странице которого размещена информация об изготовлении и продаже поддельных служебных удостоверений сотрудников государственных правоохранительных органов МВД России, ФСБ России, кроме того на странице размещена информация об изготовлении и продаже поддельных водительских удостоверений, паспорта гражданина Российской ФедерацииЗамечательно. Ловить тех, кто изготовляет поддельные документы, мы не будем, мы лучше заблочим CDN, которым они пользуются.
Интересно, каким образом в Вашей думающей, неравнодушной голове родилась логическая цепочка "заблочили сайт, значит, не будут искать"?
> Интересно, каким образом в Вашей думающей, неравнодушной голове родилась логическая цепочка
> "заблочили сайт, значит, не будут искать"?Во-первых, я немного представляю, как эта система работает. Во-вторых, симптоматическое лечение назначают, когда не могут устранить причину, что мы и наблюдаем.
> не могут устранить причинуНе могут сейчас - не значит, что не смогут никогда. Больному могут назначить симптоматическое лечение пока организм не окрепнет до мало-мальски приемлемого состояния, чтобы начать полноценное лечение. Или пока не доставят в специализированный стационар. Или пока какой-нибудь альтернативно-одарённый зацепер не подарит больному ненужную почку. Ну, и так далее.
Сей организм головой уже не окрепнет никогда, поэтому бесплатно подкидываю идею по дальнейшему лечению "неправильно больных" поциентофф.Мониторим неблагонадежные информационные ресурсы, смотрим, где на том же IP можно открыть очередной сайт по продаже каких-нибудь поддельных документов или чего там еще. Находим, открываем сайт, пишем в роскомзабор - и все, ресурс заблокирован.
>Во-первых, я немного представляю, как эта система работает.Не-а! Не тешь себя иллюзией :)
Не будут, у них ресурсов на это нету. А заблочить может кто угодно: заходим на сайт роскомпозора и вбиваем любой адрес, они рассматривают вашу заявку и блокируют, при этом не думаю, что кто-то там кого-то ищет. Все эти блокировки для отвлечения внимания, не более.
Ресурсов у них много, только расходуются они в основном на бюрократию.
> Ресурсов у них много, только расходуются они в основном на бюрократию.Это очень вежливое название для дач генералов и прочих шоссе к ним.
> Интересно, каким образом в Вашей думающей, неравнодушной голове родилась логическая цепочка
> "заблочили сайт, значит, не будут искать"?например такая: пока они их искали, меня просили не блокировать сайты, а наоборот - пособирать логи, кто на него ходит как в админку, так и через веб.
Иногда месяцами собирали, если в момент обращения там было скучновато.(покупка "продукции" так же уголовно наказуема. Поэтому необязательно ловить изготовителей - товарищу майору и так премию дадут. Но, похоже, он теперь по другому ведомству, времени на обычную уголовку у него не осталось.)
У меня всё работает
Вопрос к специалистам.
Почему на https://slotmachine24.ru/ я не могу попасть, а на https://mate-desktop.org/ захожу? Что я делаю не так?
Видимо, Ваш провайдер ещё не успел заблочить IP MATE.
Это не ip MATE, это ip Cloudflare. Это как впн, если на пальцах.
Аналогичная картина, проверено на двух проводных и на 4g провайдерах.Вопрос к специалистам.
> Почему на https://slotmachine24.ru/ я не могу попасть, а на https://mate-desktop.org/
> захожу? Что я делаю не так?
Ну, на самом деле это проблема Cloudflare.
С чего вдруг это стало проблемой CloudFlare?
> С чего вдруг это стало проблемой CloudFlare?Если вы распространяете нелегальный контент - вас закрывают.
И неважно - распространяете вы контент по злонамеренному умыслу или по глупости - или по невежеству- или безалаберности.Вы его распространяете. Сами вы его генерируете или распространяете чей-то - вы его распространяете.
Поэтому если CloudFlare не хочет чтобы все ее i в конечном счете попали под запрет (например это может повлечь за собой коммерческие риски) - она должна более аккуратно подходить к вопросу предоставления своих мощностей нарушителям закона. А то и соучастие может заработать :)
Согласен полностью.
Производителей оборудования тоже нужно накрыть: орудие преступления, как-никак. Всех в расход.
Предлагаю шахтёров посадить! Они добывают руду, из которой, есть шанс, что сделают что-то плохое!
А ещё лучше, назначить им штраф в размере их ЗП, пусть батрачут за хлеб и кашу, нехрен им денег иметь!
> Предлагаю шахтёров посадить! Они добывают руду, из которой, есть шанс, что сделают
> что-то плохое!Каждый второй террорист в бомбу пихает винты и гвозди как поражающие элементы. Без руды все это не получится, так что шахтеры самые настоящие пособники террористов.
Если считать каждый сдн-сервис нарушителем закона и блочить его пулы то очень скоро интернет превратиться в чебуРашку как твой телевизор с единственным правильным мнением. В принципе все туда и идет, но ваше нежелание сопротивляться выдает в вас полезного идиота или интеллигента у кормушки.
>В принципе все туда и идет, но ваше нежелание сопротивляться выдает в вас полезного идиота или интеллигента у кормушки.Спили мушку Джо! Оно туда идёт сопротивляешься ты или нет.
Слишком уж большая власть получается у ынтернетов ныне. Никто её валятсь ничейной не оставит :(
> Спили мушку Джо! Оно туда идёт сопротивляешься ты или нет.
> Слишком уж большая власть получается у ынтернетов ныне. Никто её валятсь ничейной не оставит :(Поэтому ты предлагаешь спилить мушку и получить удовольствие? Знаешь, а получай-ка его как-нибудь без меня.
Я - айтишник. Те. на лююую хитрую Ж найду Х с винтом :-)
А вот если чел не из айти - борьба будет утомительной и проигранной заранее :(Я уже лет 10 всем говорю - не храните секреты в компутерах, если можете :) НАПРОЧЬ!(С)
> Я - айтишник. Те. на лююую хитрую Ж найду Х с винтом :-)Китайцы даже GFW на о бывают, так что да. Но винты у них на редкость нестандартные.
> А вот если чел не из айти - борьба будет утомительной и
> проигранной заранее :(Отсюда мораль: можно позвать айтишника. А если все и вся сам - апендицит себе вырезать смогешь?!
> Я уже лет 10 всем говорю - не храните секреты в компутерах, если можете :) НАПРОЧЬ!(С)
А мне нравится другой путь. Кайф это когда ты можешь играть с огнем и не обжечься.
Все правильно сделали.Необходимые меры на пути к тотальному чебурнету.
Чебурнет лишь полдела. Президент поболтал с создателем Эфира, Виталиком Бутериным - мол, цифровая экономика, круто, все такое. И понял это по своему. Так что Бутерин рискует стать уголовником по новым законам. Впрочем, он "канадец российского происхождения", что очень предусмотрительно для автора криптовалюты и платформы для умных контрактов. Стартапить в РФ вообше чревато длительной отсидкой.Ну а президент вообразил себе образцово-показательный лагерь. Цифровой. Концентрационный. Всем распознавание рож и глонасс в ж..., для вашего же блага. Авторитетные источники в лице НТВ и Россия 24 подтвердят что так безопаснее, даже не сомневайся. Вместе с экспертами типа "интернет-омбудсмэна", которому икра на хлебе важнее всякой чепухи.
Все правильно, брат. Только ты ниточку не дотянул немного. Цифровой концлагерь будет на основе блокчейна. Они возьмут самые передовые идеи цифрового мира и извратят их под свои цели.Что касается интернет омбудсмена - у него бузинесь в дата центре, вполне подойдет для хранения трафика по закону Яровой.
А какая разница, блокчейна или нет? Блокчейн лишь технология. Молотком тоже можно гвозди забивать, а можно голову кому-то разбить. А вот эти орки почему-то предпочитают только разбивать головы. Другие применения молотков их не прельщают.
И ведь сидят же целые суды и занимаются такой вот важной деятельностью. И ФНС видать с авторов Mate налоги хочет, будто им кто-то что-то платит...
Какое дпи при сни? При сни имя хоста открытым текстом передается.
> Какое дпи при сни? При сни имя хоста открытым текстом передается.DPI и нужен чтобы этот отрытый текст выловить из содержимого пакета, без него только по IP можно блокировать. Из уже установленного TLS-сеанса без подмены сертификата никакие DPI ничего не выловят.
DPI - в том числе значит "подняться выше IP".
УРА !! больше качественных блокировок !! чтоб любой владелец сервера и любой пользователь знал что в любой момент могут заблочить !!!
Аминь.
Не прячься за непонятными ip и ничего не заблокируют. Если, конечно, к тебе не будет вопросов.
Правильно. Надо свой, отечественный IP протокол вводить, где адресом будет серия и номер паспорта.
> Правильно. Надо свой, отечественный IP протокол вводить, где адресом будет серия и
> номер паспорта.Не надо. Так же не надо сидеть под CDN.
работает пока что
А я сделал себе проксю в облаке, пока пользуюсь халявным тестовым периодом, потом буду платить примерно $1 в месяц. Роскомнадзору пламенное ку-ку.
Ну или так, да :)
Я просто настроил Nextcloud с доступом по SSH. Роскомпозор? Не, не слышал.
В Кетае SSH давно шейпят скорость. 5кб/сек для SSH "хватит всем". Ищи альтернативы.
Альтернативы - курьерская доставка. Коммитить будем в конвертах и бандеролях, и прятать по закладкам.
Есть прокси софт отвечабший на всех портах. Не-спецам для начала и этого хватит.
> В Кетае SSH давно шейпят скорость. 5кб/сек для SSH "хватит всем".Интересно, а файлы на серваки китайцы голубиной почтой закчивают?
А я вообще бесплатно сделал.Пока пользуешься сам -- всем безразлично. Начнёшь раздавать -- рискуешь сесть. Или вызвать бан облака по IP.
Поставил VPN, забыл про Роскомпозор.
>Поставил VPN, забыл про Роскомпозор.VPN это анонимайзер. Поэтому Вы поставили себя вне закона.
почему же. на свое фио покупаю впску в хецнере, поднимают туннель овер ссх и .. при защемленных в дверях пальцах все равно признаюсь, что ходил смотреть на санкционку
> почему же. на свое фио покупаю впску в хецнере, поднимают туннель овер
> ссх и .. при защемленных в дверях пальцах все равно признаюсь,
> что ходил смотреть на санкционкуДа ты и в убийстве Кеннеди сознаешься, если поднажать. Это правда не означает что ты имеешь к этому какое-то отношение или что это имеет какое-то отношение к правосудию. Это обычное давление.
> почему же. на свое фио покупаю впску в хецнере, поднимают туннель овери поздравляю, _уже_ нарушил закон.
граждане не имеют у нас права использовать несертифицированные средства шифрования (исключительно в целях их же собственной безопасности, разумеется - вдруг шифрование ненадежно и кто-то подменит внутри того туннеля твое порно своим?)
То что пока к индивидуальным гражданам это постановление не применялось - это _трактовка_, ее можно в любой момент переиграть.Чем больше вы звоните о том, какие вы грамотные и умные - тем больше вероятность, что будет как во франции. Где была спец-версия винды, у которой даже rdp нешифрованный. Патамушта нельзя.
> ссх и .. при защемленных в дверях пальцах все равно признаюсь,
> что ходил смотреть на санкционкуда кому твое признание нужно. принесут свою, на флэшке, воткнут тебе, два понятых подпишутся, что, да, была.
> Чем больше вы звоните о том, какие вы грамотные и умные -
> тем больше вероятность, что будет как во франции. Где была спец-версия
> винды, у которой даже rdp нешифрованный. Патамушта нельзя.Ну хорошо, сделаем шифрование которое не выглядит как шифрование. Это довольно просто. Если хочешь, можем даже фотографии котят слать, кодируя в младших битах. Вам же трафика больше.
А еще можно будет грамотно подставлять кого-нибудь - немного рандома с "вон того роутера" и ужо этому террористу. Это вообще фича а не баг - удаленное управление омоном.
> граждане не имеют у нас права использовать несертифицированные средства шифрованияБлагородному дону, конечно же, не составит труда кинуть ссылочку на соответствующий закон/указ/постановление/приказ, назвав его номер и дату, а также конкретно номер статьи или пункта?
> граждане не имеют у нас права использовать несертифицированные средства шифрованияперегибаешь маленько. этак придется все браузеры запретить, потому что наше шифрование туда никто встраивать не будет. да и весь https заодно.
>> граждане не имеют у нас права использовать несертифицированные средства шифрования
> перегибаешь маленько. этак придется все браузеры запретитьну почему именно запретить? Получай сертификат и пользуйся.
тебя же не смущает, что лично ты можешь, внезапно, подсесть за банальную попытку заказать по почте не ту модель мотороллы? (вот уж в gsm шифрование так шифрование - стесняюсь спросить, оно хоть еще не на rpi взламывается онлайн?)
то есть на самом деле и на отдельных граждан уже иногда распространяется.за ssh _пока_ не ловят, но "аппарат-то есть".
А когда-то прозвучавшее не очень даже частное мнение госчиновника что "не затрагивает непосредственно граждан" - его к делу не подошьешь. Да и уже, как видишь, затрагивает. В тех случаях, когда ловить удобно и прибыльно.
> граждане не имеют у нас права использовать несертифицированные средства шифрованияЭй, ты на опеннет по HTTPS ходишь? А браузер у тебя сертифицированный? Ну-ка, пройдём-ка!
>> граждане не имеют у нас права использовать несертифицированные средства шифрования
> Эй, ты на опеннет по HTTPS ходишь? А браузер у тебя сертифицированный?ну что вы, что вы, товарищ майор - по plain http хожу. (да и нахрена, собственно?)
> VPN это анонимайзер. Поэтому Вы поставили себя вне закона.Например, какого? С точностью до пункта? И законы приняты с такой точностью, детальностью, легитимностью и всеобщим одобрямсом что хочется все это назвать питерским гопстопом.
Пока что законом не предусмотрена ответственность для пользователей. Только для провайдеров VPN.
Пока
> Поставил VPN, забыл про Роскомпозор."Однажды маленького Павлова укусила собака.
Укусила - и забыла...
...А Павлов не забыл!"
Походу уже разблокировали, если даже я из Крыма захожу.
>Походу уже разблокировали, если даже я из Крыма захожу.
>из КрымаТы тролль или правда не в курсе?
Я тоже не в курсе. В прошлые разы Крым получал все российские блокировки, все украинские блокировки, а заодно порцию блокировок специфичных для Крыма. Некоторые перешли на краснодарские IP, но, естественно, российские блокировки получают.Что-то изменилось?
>Я тоже не в курсе.Я вот про это:
https://roskomsvoboda.org/31928/
Только в этой статье «предложили», но попадалась информация на тему «пока что смотрят сквозь пальцы».
В общем, зарисовка из жизни готтентотов.
У меня до сих пор update сервера Joomla блокированы
И это печально!
> У меня до сих пор update сервера Joomla блокированыТак зачем ты хостишься в рунете? Чтобы произволом и головотяпством наслаждаться? Тогда жаловаться не логично.
>> У меня до сих пор update сервера Joomla блокированы
> Так зачем ты хостишься в рунете?он соблюдает ФЗ 242
> Чтобы произволом и головотяпством наслаждаться? Тогда жаловаться не логично.
если законы не соблюдать, можно избавиться не только от произвола, но и от пользователей из этого самого рунета.
> он соблюдает ФЗ 242Были одни такие, соблюдавшие законы. Потом в Нюрнберге на трибунале отдувались за все хорошее.
> если законы не соблюдать, можно избавиться не только от произвола, но и
> от пользователей из этого самого рунета.Да и хрен с ними, по большому счету. Гемора много, денег мало. Если россияне хотят назад в феодальный строй, зачем мешать?
> Были одни такие, соблюдавшие законы. Потом в Нюрнберге на трибунале отдувались за все хорошее.кто-то отдувался, а с кого другого и не спросили - молча проглотили условие "ни о чем таком, имевшем место до 22.06.41, на процессе и не заикаться", победителей, мол, не судют. Соответственно - главное, не оказаться в числе проигравших, а вовсе не чистота помыслов или рук.
> Да и хрен с ними, по большому счету. Гемора много, денег мало. Если россияне хотят назад в
> феодальный строй, зачем мешать?у них что, выбор есть, что-ли? Хочешь что-то жрать - соглашайся сотрудничать с товарищем майором.
"а кто не будет сеять кукурузу - того мы будем сажать!"
> и не заикаться", победителей, мол, не судют. Соответственно - главное, не
> оказаться в числе проигравших, а вовсе не чистота помыслов или рук.Россияне залупились на полпоанеты, при том с весьма хреновым уровнем технологий, хилой экономикой и культом взращивания злобных овощей вместо людей. Не понимаю как при таком раскладе можно оказаться в выигрыше. В выигрыше будут китай, европа, штаты, япы. Они по крайней мере взаимодействовать нормально могут.
> "а кто не будет сеять кукурузу - того мы будем сажать!"
Ну ты сам и объяснил почему у меня почти не осталось знакомых айтишников из РФ. Все удрапали в более нормальные законодательства. Nginx, inc - американский, эфир сделал "канадец русского происхождения". Какие-то болгары подняли несколько миллиардов на биткоинах. А россияне обречены смотреть как все это проплывает мимо них. Хайтек и феодализм несовместимы, увы и ах. А у россиян останутся "профессионалы" типа тебя, с такими друзьями никаких врагов не надо.
Я с 2003 года не смотрю телевизор. Объясните, почему заблокировали сайт онлайн-казино? Вроде ещё 2 недели назад каждая первая реклама на сайтах фильмов-онлайн была реклама онлайн-казино. Неужели власть стала бороться с ними?Когда я последний раз интересовался тем, что именно запрещено, была запрещена информация об изготовлении оружия, о caмoyбийcтвax и пopнoгрaфия с нecoвepшeннолетними. К этому списку добавили онлайн-казино?
https://rebrand.ly/ac-arguments
Оне налоги не плотють. И блочит их теперь ФНС.
И сайты фильмов-онлайн потихоньку отправляются туда же. Так медиа-барыги борятся с "пиратством".
По решению суда могут блокировать что угодно. Обычно казино, наркотики, порнографию.Сайты, нарушающие авторские права, теперь можно блокировать и без суда, просто по жалобе.
2 недели назад видел сюжет в "Моменте истины" про онлайн-казино. Там сначала показывали открывание кейсов на YouTube. Сказали что это безобидно. А потом дети переходят на "нapкотики потяжелее" вроде онлайн-казино с бесплатными 200 вирт. деньгами. А потом несут реальные деньги. "Дети неустойчивы к подобной рекламе"
> "Дети неустойчивы к подобной рекламе"Не только дети. Они ведь даже ни разу не ЦА.
Есть такая штука, как "игровая зависимость", заставляющая вполне себе взрослых, вроде бы рассудительных человеков упорно просаживать деньги -- хотя вроде бы ни для кого не секрет (и без знания теорвера), что казино, даже играя честно, всегда останется в выигрыше.Но государства обычно в очень хорошей "доле" с казино, поэтому вся эта лохотр^W бодяга проходит под безобидным названием "индустрия развлечений". Точно так же, как табак идет как предмет роскоши или "деликатес", наряду с тем же кофе.
> системы доставки контента Cloudflarхипстеры
Провайдер is74.ru заблокировано!
Вчера их саппорту выносил мозг =)
>CloudflareЗачем стрелять себе в ногу и пользоваться этим?
Обоснуйте!
> Зачем стрелять себе в ногу и пользоваться этим?Во-первых, стреляли не участники проекта Mate.
Во-вторых, пуля попала не в них.
Я и не говорил о участниках. Я о владельцах сайта.
>Я и не говорил о участниках. Я о владельцах сайта.Да какая разница, заблокировали-то не им, а тебе.
Затем, что это им удобно? А что неудобно аборигенам некоторых стран третьего мира - так это аборигенов и проблемы.
хозяин барин, провода то не мои
ничё против не имею
> хозяин барин, провода то не мои
> ничё против не имеюВоздух тоже не твой, если что.
>2017
>сидеть в интернетах без впнССЗБ
>2017
>сидеть через впн
>сидеть за впн
>сидеть под впн
sudo apt install tor
Добавляем SOCKS5 прокси куда нужно 127.0.0.1:9050
PROFIT
Если уж он у РОСТЕЛЕКОМа не заблокирован, то я хз, что вы тут хотели сказать.
> Так как запрещённый сайт был доступен по HTTPS, то при отсутствии у провайдера DPI-системы с поддержкой SNI, блокировка действует и на легитимные сайты, доступ к которым осуществляется через те же IP.Если Вы технически не в теме, то расшифровываем: У Ростелекома хороший DPI с поддержкой SNI, поэтому блокировки легитимных, как тут сказано, сайтов Вы не получаете.
Неправильно они делают, нужно блокировать по маске 0.0.0.0/0
Вообще-то о возможности таких коллизиях предупреждали с самого начала, когда реестр ещё был пуст. И это, кстати, не первый случай такого рода.
Шутки шутками, а теперь серьёзноГлупо размещать статьи о блокировки тех или иных сайтов, потом поохать в комментариях и забыть. Если небезразлична судьба интернета то боритесь с этим, если совсем пох то ненужно строить из себя недовольных в комментариях.
Пример тут у нас во всю идёт война за net neutrality, для многих исход голосования понятен и предсказуем, «правильного» человека сделали главой FCC с поддержкой корпораций. Но народ все ещё бодриться , звоним местному представителю, выступления, письма в конгресс и FCC.
> Пример тут у нас во всю идёт война за net neutrality,
> для многих исход голосования понятен и предсказуем, «правильного» человека
> сделали главой FCC с поддержкой корпораций.Корпорации разные бывают. Есть гугл, фэйсбук, нетфликс и прочие сетевые гиганты. Они за нейтральность. Есть провайдеры, там за нейтральность кто как. Кто-то боится что его конкуренты будут драть, кто-то надеется ощипывать остальных за доступ к своим клиентам.
В общем, корпоративные войны севера и юга, живой товар 2.0.
Знаю я, сам работаю на одного из провайдеров, слышу всякое. А так да понятное дело что google и Facebook очень не выгодно это дело. Comcast, charter, Verizon (особенно) уж очень хотят отмены регулирования. Ибо для них всякие YouTube (& YouTube tv), Netflix, онлайн игры и другие прелести интернета попортили доходы. Verizon особые, они жёстко безпределяли даже под регулированием - см. Google vs Verizon (google wallet unlawful blockage), Netflix be Verizon (traffic trotting). И теперь их бывший адвокат управляет FCC...
> Знаю я, сам работаю на одного из провайдеров, слышу всякое. А так
> да понятное дело что google и Facebook очень не выгодно это
> дело. Comcast, charter, Verizon (особенно) уж очень хотят отмены регулирования.
> Ибо для них всякие YouTube (& YouTube tv), Netflix, онлайн игры
> и другие прелести интернета попортили доходы. Verizon особые, они жёстко безпределяли
> даже под регулированием - см. Google vs Verizon (google wallet unlawful
> blockage), Netflix be Verizon (traffic trotting). И теперь их бывший адвокат управляет FCC...Мне кажется у амеров за "unlawful blockage" можно здорово ответить, при том class action lawsuit-ом, жирным и убедительным, не? А что до подпортили доходы - провайдеры на triple play долбанулись слишком. Никому их унылое недотелевидение и голимые недо-voip не надо. А если они хотят больше денег - пусть больше данных качают, чтоли. А то так дойдет до того что шахтеры начнут выдвигать требования - мол, вилки из нашей руды можно, а ложки - нельзя, за руду для ложек извольте доплатить.