Новый метод работает не для всего сайта целиком, а для его отдельных страниц.
...для http. Закапывайте, не нужно
Ответить
Развернуть ветку
Престижный Кирилл
А бля, так они просто http адрес читают в запросе к гуглу (из него сам запрос можно получить). Есть слово "наркотики" - блокируем. ТЕХНОЛОГИИ БУДУЩЕГО.
Ответить
Развернуть ветку
Санитарный ГОСТ
Пока лучшая реализация блокировок через DPI у Ростелекома, обходится одной строкой с правилом для iptables. Никаких прокси, впн и расширений...
Ответить
Развернуть ветку
Престижный Кирилл
Это когда они присылают свой пакет с "недоступно" до ответа сайта?
Ответить
Развернуть ветку
Санитарный ГОСТ
Ага, отбрасываем по заголовку
Ответить
Развернуть ветку
Удивленный бас
Комментарий недоступен
Ответить
Развернуть ветку
Санитарный ГОСТ
Насколько я знаю, у них система блокировки работает обособленно от ядра и никаких вмешательств на уровне BGP нет. Это можно сказать пассивный DPI. Или я не правильно понял вопрос?
Ответить
Развернуть ветку
Удивленный бас
Комментарий недоступен
Ответить
Развернуть ветку
Конечный историк
а запрос "вред наркотиков" или "лечение наркомании" тоже блокирует?
Ответить
Развернуть ветку
Кожаный франт
Дмитрий, в видеоролике показана работа безопасного (или семейного) поиска в Яндексе и Google, которая принудительно включена в учебных учреждениях, где фильтрация трафика осуществляется в соответствии с госконтрактом.
При включении безопасного (семейного) поиска внутри поисковых систем, фильтрация происходит силами самих поисковых систем.
Ресурс http://персональныеданные.дети/ мог быть заблокирован из-за ошибки в категоризации ресурсов, уже направили на перекатегоризацию, поэтому будет доступен в учебных учреждениях в ближайшее время.
Ответить
Развернуть ветку
Верхний утюг
Комментарий недоступен
Ответить
Развернуть ветку
Понятный алмаз
Дмитрий, добавил в вашу новость комментарий провайдера, чтобы она не наводила панику. Система не новая, её уже давно используют и «МГТС» в данном случае ни при делах.
Ответить
Развернуть ветку
Немой месяц
Как он туда попал по http ссылке? Гугл же в HSTS списке
Ответить
Развернуть ветку
Женский томагавк_два
Get запрос с Яндекс уходит к Google как http, там то его и ловит мгтс
Ответить
Развернуть ветку
Немой месяц
Запрос уходит с твоего браузера а не с яндекса, но гугл в списке hsts и ссылка автоматически должна заменяться на https и только потом открываться
Ответить
Развернуть ветку
Коммунистический динозавр
Редирект на SSL-порт проводится на сервер-сайде, а не клиентом, поэтому изначально клиент сходит до гугла по незащищенному каналу.
Ответить
Развернуть ветку
Немой месяц
Нет. Браузер подменяет ссылку на https. В этом вся суть HSTS, иначе может быть реализована эта MITM атака и можно будет перехватить содержание url, а там может быть и имя и пароль и любая другая информация, ну и просто тупо продолжить общаться с пользователем от имени ресурса
Ответить
Развернуть ветку
Коммунистический динозавр
Отчасти ты прав. Но работает это только в случае если:
1. Браузер обучен самостоятельно подменять протокол на https.
2. Целевой сервер, пока они с клиентом разговаривали под SSL, снабдил ответ заголовком Strict-Transport-Security
3. Параметр max-age заголовка Strict-Transport-Security не истёк. То есть, даже при выполнении двух условий выше, по истечению некоторого времени бразуер "забудет", что к данному серверу надо стараться пробиваться по HTTPS.
Ответить
Развернуть ветку
Немой месяц
Гугл в списке который загружается с браузером, уже много лет, никто ничего не забудет
Ответить
Развернуть ветку
Коммунистический динозавр
Ну так-то да. Если ты сидишь не с крабовой палочки с седьмым ослом на борту, то по большей части эта мера МГТС — пук в лужу.
Ответить
Развернуть ветку
Женский томагавк_два
Это не пук, это фильтрация контента и на большинстве отечественных ресурсов без https сработает.
Можно будет отчитаться о затраченных миллионах 😉
Ответить
Развернуть ветку
Престижный Кирилл
telegra.ph заблочат, а отчитаются что телеграм (о да, злобный план роскомпозора раскрыт)
Ответить
Развернуть ветку
Удивленный бас
Комментарий недоступен
Ответить
Развернуть ветку
Коммунистический динозавр
Никто и не спорит. Речь идет о скриншоте выше, где в ссылке на гугол фигурирует http://, а в таком случае браузер не станет ничего додумывать и сначала пойдет до гугла по незащищенному каналу, откуда гугл должен редиректнуть клиента на https-порт, но alas, всё уже перехвачено и отфильтровано.
Специально сделал стоп кадр видео и что же мы видим? Браузер отправил по http где это перехватил мгтс
Ответить
Развернуть ветку
Немой месяц
Я не знаю что это за видео и что за браузер, я блин с микроволновки пишу ито никаких http соединений с гуглом нет
Ответить
Развернуть ветку
Непонятный чувак
Комментарий недоступен
Ответить
Развернуть ветку
Немой месяц
Их пожалей лучше
Ответить
Развернуть ветку
Коммунистический динозавр
Деда, да расслабься ты. Никто ж не настаивает на истине в последней истанции. Забыл я про HSTS preload list — ну так и напиши. А то сразу "говно говно развыебывался тут".
Ответить
Развернуть ветку
Непонятный чувак
Комментарий недоступен
Ответить
Развернуть ветку
Женский томагавк_два
Сделал со своего chrome, последняя версия. Подменил target blank на Яндекс странице и включил Preserve log в браузере. Со статусом 307 ушло к серверу http
Получив http конечно же Google перенаправляет на https, что видно строчкой ниже
Ответить
Развернуть ветку
Немой месяц
Этот запрос не уходит из браузера, тут же так даже и написано 307 Internal Redirect
Ответить
Развернуть ветку
Женский томагавк_два
Из браузера уходит http на сервере Google перенаправляется на https
Ответить
Развернуть ветку
Немой месяц
Нет не уходит
Ответить
Развернуть ветку
Коммунистический динозавр
Ответил ниже. С тупым видом, если тебе так больше нравится.
Кто каким браузером пользуется, кстати?
Комментарий недоступен
firefox ofc
хоть и фанат гугла
firefox, потому что в хроме уже шестой год не мог починить баг с отображением шрифтов (они в нем слишком блеклые).
А кроме лисы что-то ещё осталось?
Возможно этот фильтр работает в образовательных учреждениях
Комментарий недоступен
Там вроде такое давно. Защита детей, все дела.
https://tjournal.ru/57666-v-rossii-poyavitsya-nacionalnaya-sistema-filtracii-interneta-dlya-zashchity-detey
Комментарий недоступен
...для http. Закапывайте, не нужно
А бля, так они просто http адрес читают в запросе к гуглу (из него сам запрос можно получить). Есть слово "наркотики" - блокируем. ТЕХНОЛОГИИ БУДУЩЕГО.
Пока лучшая реализация блокировок через DPI у Ростелекома, обходится одной строкой с правилом для iptables. Никаких прокси, впн и расширений...
Это когда они присылают свой пакет с "недоступно" до ответа сайта?
Ага, отбрасываем по заголовку
Комментарий недоступен
Насколько я знаю, у них система блокировки работает обособленно от ядра и никаких вмешательств на уровне BGP нет. Это можно сказать пассивный DPI. Или я не правильно понял вопрос?
Комментарий недоступен
а запрос "вред наркотиков" или "лечение наркомании" тоже блокирует?
Дмитрий, в видеоролике показана работа безопасного (или семейного) поиска в Яндексе и Google, которая принудительно включена в учебных учреждениях, где фильтрация трафика осуществляется в соответствии с госконтрактом.
При включении безопасного (семейного) поиска внутри поисковых систем, фильтрация происходит силами самих поисковых систем.
Ресурс http://персональныеданные.дети/ мог быть заблокирован из-за ошибки в категоризации ресурсов, уже направили на перекатегоризацию, поэтому будет доступен в учебных учреждениях в ближайшее время.
Комментарий недоступен
Дмитрий, добавил в вашу новость комментарий провайдера, чтобы она не наводила панику. Система не новая, её уже давно используют и «МГТС» в данном случае ни при делах.
Как он туда попал по http ссылке? Гугл же в HSTS списке
Get запрос с Яндекс уходит к Google как http, там то его и ловит мгтс
Запрос уходит с твоего браузера а не с яндекса, но гугл в списке hsts и ссылка автоматически должна заменяться на https и только потом открываться
Редирект на SSL-порт проводится на сервер-сайде, а не клиентом, поэтому изначально клиент сходит до гугла по незащищенному каналу.
Нет. Браузер подменяет ссылку на https. В этом вся суть HSTS, иначе может быть реализована эта MITM атака и можно будет перехватить содержание url, а там может быть и имя и пароль и любая другая информация, ну и просто тупо продолжить общаться с пользователем от имени ресурса
Отчасти ты прав. Но работает это только в случае если:
1. Браузер обучен самостоятельно подменять протокол на https.
2. Целевой сервер, пока они с клиентом разговаривали под SSL, снабдил ответ заголовком Strict-Transport-Security
3. Параметр max-age заголовка Strict-Transport-Security не истёк. То есть, даже при выполнении двух условий выше, по истечению некоторого времени бразуер "забудет", что к данному серверу надо стараться пробиваться по HTTPS.
Гугл в списке который загружается с браузером, уже много лет, никто ничего не забудет
Ну так-то да. Если ты сидишь не с крабовой палочки с седьмым ослом на борту, то по большей части эта мера МГТС — пук в лужу.
Это не пук, это фильтрация контента и на большинстве отечественных ресурсов без https сработает.
Можно будет отчитаться о затраченных миллионах 😉
telegra.ph заблочат, а отчитаются что телеграм (о да, злобный план роскомпозора раскрыт)
Комментарий недоступен
Никто и не спорит. Речь идет о скриншоте выше, где в ссылке на гугол фигурирует http://, а в таком случае браузер не станет ничего додумывать и сначала пойдет до гугла по незащищенному каналу, откуда гугл должен редиректнуть клиента на https-порт, но alas, всё уже перехвачено и отфильтровано.
Комментарий недоступен
Нет станет. Хватит писать бред с умным видом и путать всех http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Специально сделал стоп кадр видео и что же мы видим? Браузер отправил по http где это перехватил мгтс
Я не знаю что это за видео и что за браузер, я блин с микроволновки пишу ито никаких http соединений с гуглом нет
Комментарий недоступен
Их пожалей лучше
Деда, да расслабься ты. Никто ж не настаивает на истине в последней истанции. Забыл я про HSTS preload list — ну так и напиши. А то сразу "говно говно развыебывался тут".
Комментарий недоступен
Сделал со своего chrome, последняя версия. Подменил target blank на Яндекс странице и включил Preserve log в браузере. Со статусом 307 ушло к серверу http
Получив http конечно же Google перенаправляет на https, что видно строчкой ниже
Этот запрос не уходит из браузера, тут же так даже и написано 307 Internal Redirect
Из браузера уходит http на сервере Google перенаправляется на https
Нет не уходит
Ответил ниже. С тупым видом, если тебе так больше нравится.
Комментарий недоступен
Кстати, фамилия автора... 😋