Уважаемые античатовцы! Наверняка все в курсе горячки, которая сейчас происходит вокруг проект закона о борьбе с пиратством в интернете Если кто не в курсе то вот из последнего: http://www.vedomosti.ru/tech/news/12690811/kak_zakryt_pirata#ixzz2VHyPFVjw Так вот на встрече кинематографистов с президентом 24 мая кинематографисты предложили включать сайты, на которых обнаружен ворованный контент, в печально известный "черный список", оператором реестра которого на данный момент является Роскомнадзор. Сами механизмы блокировки и текущие проблемы стали основной темой и на региональной конференции ENOG 5 / RIPE NCC которая проходила в гостинице Corinthia в Санкт-Петербурге 27-28 мая 2013 года. (Видео с конференции (доклад представителя Роскомнадзора о механизмах блокирования) ) В связи с неэффективностью блокировок по IP ОСНОВНОЕ новшество это метод точечного блокирования, который Роскомнадзор теперь рекомендует к применению всем операторам связи, своебразный Большой Российский Фаерволл, идею которого наши доблестные блюстители морали почерпнули у новозеландских коллег (ссылка на оригинальную технологию ) выбрав не DPI как предполагалось, а такую штуку как: Итак помимо старенького метода блокировки по IP они хотят выполнять { блокирование с предварительным выделением по IP адресам и дальнейшей фильтрацией по URL (IP+URL)} Модель «прозрачного» прокси-блокирования с помощью URL: 1 - Трафик для сайта x, отделяется от остального трафика и пересылается через блокирующий прокси-сервер 2 - Обычный путь следования интернет-трафика 3 - Прозрачный прокси-сервер поставщика услуг Интернет, осуществляющий проверку URL на принадлежность к заблокированным значениям 4 - Совпадение отсутствует, трафик пропускается 5 - URL совпал, трафик блокируется Т.е. другими словами: весь траффик/запросы от пользователя будет проходить через некий аппаратно-программный комплекс, который будет анализировать IP-адреса тех ресурсов, которые хочет посетить пользователь и если IP-адрес совпадет с таким же в черном списке, то попадает на анализ в некий proxy-сервер и если идет запрос на запрещенный URL, то он его не пропускает, а весь остальной траффик с/на данный IP свободно проходит. При этом, Роскомнадзор допускает комбинированную схему, когда в список запрещенных ресурсов попадает не только URL, а сам домен, тогда «возможно, дополнительно, проводить блокировку на уровне DNS, обязав DNS-оператора производить замену записей в соответствующей доменной зоне записью, указывающей либо на недоступность данного ресурса, либо перенаправляющей запросы на специальный ресурс, уведомляющий о факте блокировки» Источник и подробное описание ситуации: http://rublacklist.net/5412/#more-5412 Ссылка на официальные документы Роскомнадзора: Материалы к выступлению заместителя руководителя Роскомнадзора Максима Ксензова на Расширенном заседании Коллегии Роскомнадзора 14 мая 2013 года в части, касающейся анализа существующих методов управления доступом к интернет-ресурсам и рекомендации по их применению Помимо того что интересно Ваше мнение на эту тему, волнует и КОНКРЕТНЫЙ ВОПРОС: Новозеландское комьюнити пишет о том что эта система имеет слабые места в частности цитирую: "Groups such as Tech Liberty and internetNZ say the website filter is at best a crude device and not very effective. They point out the filter can't intercept encrypted web traffic, or file-sharing, email, chat, and instant messaging - the main ways in which child pornography is traded. Website filtering can also easily be evaded by anyone with a reasonable degree of technical skill." 1) Не вполне понятно о чем идет речь, возможно ли что использование сайтом протоколов с шифрованием (SPYDY, https) может сделать блокировку проблематичной (простите за некомпетентность в этом вопросе заранее). ВОПРОС: Какие контр-меры может предпринять вебмастер чтобы избежать блокировки по такой схеме (учитывая что VPN/Tor/i2p и все остальное обычными пользователями применяться не будет) 3) Лично у меня есть одна идея, а именно использование вместо сайта AIR приложения, которое регулярно обновляется и резолвит новый список мастер серверов по зашифрованному каналу - у нее есть масса минусов, единственный ли это выход и выход ил вообще?
Если я правильно понимаю, как оно работает, то гугль-или бинг-транслейтом можно обойти. IP и домен ведь будут принадлежать серверу-переводчику, а не запрещеному сайту . Для кучи добавить редиректов на пути, чтоб URL все время менялся. Надо, разумеется, где-то публиковать понятную пользователям ссылку. Наверное, можно через сервис типа bit.ly или Твиттера попытаться: https://bit.ly/RosKomNadzor (указывает на этот тред)
На этом этапе возникает основная проблема, как Вы представляете возможность работы массового сервиса такого как рутрекер в таких условиях, лично я очень смутно, посещаемость упадет в разы, возникнут колоссальные проблемы с размещение рекламы - это приведет к вымиранию массового сегмента VPN спасет конечного пользователя, но не ресурс с посещаемостью 100к/сут, который подпадет под такую блокировку, потому что 99% его пользоваталей не знают что такое VPN, а следовательно он просто закроется и VPN будет мало толку ведь заходить под ним будет некуда. Массовые же методы анонимизации вообще хотят приравнять к преступлению, http://izvestia.ru/news/551271 Я ставлю вопрос именно о контр-мерах, которые могут предпринять веб мастера в этой ситуации превентивно ???
ну обойти блок по ip адресу нетрудно, понятно что нужно делать. Я правильно понял что будет блокироваться не весь домен, а лишь конечный адрес сайта (sait.ru/about.html) Если да, то генерировать для каждого пользователя, свою карту сайта, как вариант. или все это под SSL чтобы "СТОП слова/адреса" не ловили. Ну и ещё какую нибудь фантастику можем придумать для ближайшего будущего.
Было бы неплохо заблокировать на своём ресурсе - работников из роскомнадзора, что бы при заходе их - им не доступен был сайт. PS. Похожий метод применяю для блокировки жалующихся правообладателей
Спасибо, пожалуй самый исчерпывающий ответ на данный момент и конкретные предложения. Хотелось бы поинтересоваться Вашим личным мнением на тему - какой из предложенных автором метовов / комбинация методов Вам видится наиболее перспективным. Также хотелось бы задать вопрос тем, кто имеет отношение к провайдерам или имеет опыт работы с проксирующим, DPI оборудованием ведущих вендоров - в статье автор задает некоторые вопросы, а именно он не уверен в слудующих гипотезах: 1) Обход блокировки по URL: Не уверен в его работоспособности, и точно уверен, что поможет ненадолго. Используем SPDY (http://habrahabr.ru/post/145918/). Если я не ошибаюсь, DPI на данный момент не умеют его разбирать. Соответственно, блокировать по URL у провайдеров не получится (ещё раз уточню, что я могу ошибаться, жду опровержение в комментариях) 2. Использование https. В данном случае лучше использовать не само-подписанный сертификат, чтобы пользователь видел, что его провайдер подслушивает его. Недостаток способа в увеличении нагрузки на сервер, поскольку трафик шифруется. Крупные провайдеры используют готовые решения, и не будут городить «линукс-анализаторы https с подменой сертификатов». А мелкие не двинутся, пока крупные не сделают свой шаг. Поэтому, до появления готовых железок с разбором https провайдеры смогут блокировать только по ip. Если существующие железки это позволяют, сообщите, пожалуйста, в комментариях. На хабре он в песочнице, так что милости прошу комментировать. UPDATE: Немного посерчил, о том как устроена Новозеланская система фильтрации - вот детальное описание возможностей, судя по все https становится проблемой для разбора, о SPYDY ничего не сказано - http://techliberty.org.nz/issues/internet-filtering/filtering-technical-faq/ Кстати по поводу того что блокировку по ip легко обойти сменив адрес, есть противоположная информация: What happens if the website switches to a new internet address? The system periodically refreshes the mappings between website and internet address (i.e. does a new DNS lookup). Netclean recommend doing this daily.
Уважаемый Грабитель, Ваша позиция понятна, но тема создана для обсуждения технических аспектов проблемы теми, у кого она от Вашей отличается. Я готов с Вами поспорить на тему "разорения" г-на Михалкова и других подобных товарищей, поверьте мне с хлебом и даже маслом у них все ок, а что касается авторов, которые не находятся в большой семье, то если честно я был бы только за если бы они получали большую часть денег от своей продукции, но нужно организовать вменяемые механизмы распростраения этого продукта и распространитель, если делает работу качественно вправе претендовать на процент с согласия автора. Также введение подобной фильтрации в условиях российских реалий чревато злоупотреблениями в рамках нечестной конкрурентной борьбы, а также подводит фундамент для введения механизмов цензуры ведь сделать то резко - значит вызывать негодование ОГРОМНАЯ ПРОСЬБА: Давайте на этом закончим обсуждение морально-этических аспектов вопроса и сконцентрируемся на технической части и реальных решениях. Особенно волнует, что поможет решить вопрос с блокировкой ip в случае алгоритма изложенного в UPDATE ( когда идет ежедневный DNS lookup и рефреш базы)
Вы сами верите в это? Сейчас спросите на улице 100 человек и дай бог 1 Вам скажет что знает что такое Tor, а зарабатывают трекеры так же как и другие площадки за счет посещаемости по рекламной модели, так что то о чем Вы говорите в ближайшей перспективе несбыточно. Давайте лучше вернемся к обсуждению реальных практических решений.
Ровно так же, как и обсуждение какого нибудь теракта, не нарушает... пока не нарушает. Интернет давно надо запретить, сделать ограничение, пускать строго по паспортам как предлагал Евгений Касперский, тогда и интернет на порядок будет чище.
ок, а как вам такой вариант: персональный анонимайзер, замаскированный под [тут нужно придумать тип сайтов, требующий обмена зашифрованной/внешне случайной инфой], если предположить, что у каждого пользователя свой пароль(а в идеале всего один пользователь) и используется хороший блочный шифр, провайдер никогда не узнает что передается, т.к. сервер в Европе, т.е. физического доступа к нему нету, если используется фриха -- блокировка по ip бесполезна(просто переезжаем и все, фрих дофига, да и просто дешевых хостингов еще больше), а передавать заархивированную инфу через инет пока не запрещено.
Хорошо то, что весь трафик становится недоступным для провайдера, так как по сути это обязательный туннель для каждого пользователя с веб мордой. Мне не нарвится 2 вещи: 1) То что пользователь вынужден костылять через такую систему (но это можно обыграть) 2) То что остается домен анонимайзера как точка приложения атаки, ведь вся фишка в что никто не мешает им блокировать основную часть url этого домена. То что Вы скачете с ip на ip можно реализовать и кластером эмулирующим Flux DNS, но проблемы это не решит Интересует все таки был ли у кого-то опыт работы с таким оборудованием и какие уязвимые места присутствуют - обработка SPDY, https пока вызывает наибольший интерес. Если решение по какой-то причине не хотите озвучит в паблик, пишите в ЛС, договоримся
я предлагаю скакать не с ip на ip, а с домена на домен, на каждом домене страница с уникальным именем, все из словаря частовстречаемых имен страниц
раз так идёт дело возможно пиринг вернётся ещё к нам )) а когдато только в пиринге качал )) ностальгия
А могли бы пояснить, что делать с тем доменом, который будет у пользоваталей в закладках (в уме), он же в любом случае один единственный
Тем временем UPDATE: Русскую SOPу протащили в Думу Как и предполагалось, Минкульт (пока недоствоверно?), несмотря на массовые протесты интернет-отрасли и интернет-общественности, но при мощной артподдержке федеральных телеканалов в сжатые сроки протащил свой текст законопроекта, направленный против интернета в Госдуму. Номинальными субъектами законодательной инициативы стали депутаты ГД В.В.Бортко (КПРФ, режиссер), Е.Г.Драпеко (Справедливая Россия, актриса), М.П.Максакова-Игенбергс (Единая Россия, певица). Законопроект № 292521-6: «О внесении изменений в законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях» Источник: http://rublacklist.net/5631/#more-5631
один пользователь(ну 2-3-5 от силы), один вебмастер, передача нового адреса лично или через открытые каналы, пароль можно не менять, т.к. с большой вероятностью наш большой брат не сможет договориться с европейским.
Т.е. Вы предлагаете по сути выдавать пользователю/малой группе пользователей уникальный домен для работы с ресурсом?
Один анонимайзер(со стандартным функционалом, т.е. навигация по любым сайтам) на небольшую группу, да. По большому счету, можно на фрихах их пачками делать, себестоимость будет равна стоимости каптчи и прокси, т.е. меньше цента за один анонимайзер.
