Блокировки по IP
Jun. 21st, 2015 12:40 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
victor_sudakovМногие борцы за свободу распространения информации в сети сетуют, что закон 139-ФЗ позволяет блокировку по сетевым адресам. Дескать, при таких "ковровых блокировках" под запрет попадают множество невинных сайтов, кому не повезло оказаться на одном IP адресе с запрещенным ресурсом.
Это верно, неправомерные блокировки исчисляются сотнями тысяч: http://reestr.rublacklist.net/visual , потому что shared hosting очень популярен.
Но если из закона исключить допустимость блокировки по сетевым адресам, а оставить только блокировки по доменным именам или указателям страниц, как вообще этот закон соблюдать?
В последнее время многие социальные сети, видеохостинги, поисковики и т.п. перешли на HTTPS. При соединении по HTTPS ни доменное имя, ни тем более адрес страницы без использования MitM атаки невозможно, соответственно невозможно и фильтровать по ним.
В корпоративных сетях MitM атаки на собственных пользователей весьма распространены и уже не удивляют. Но надеюсь, что в отношениях между провайдером и конечным пользователем они всё-таки незаконны.
Более того, в свете последних веяний в сфере прав человека, дизайна протоколов Интернет (не могу найти ссылку на последние рекомендации, но там было написано изначально предусматривать End-to-End Security про разработке новых протоколов) и озабоченностью сохранением сетевого нейтралитета возможность заглянуть внутрь трафика пользователя в скором времени, вероятно, исчезнет совсем, и никакое оборудование DPI не поможет.
Так что блокировкам по IP альтернативы нет.
UPD![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
filonov напомнил мне про SNI. Действительно, иногда можно узнать доменное имя, запрашиваемое при обращении к HTTPS сайту (хотя я сомневаюсь в большой распространенности SNI). Но URL всё равно узнать нельзя.
Это верно, неправомерные блокировки исчисляются сотнями тысяч: http://reestr.rublacklist.net/visual , потому что shared hosting очень популярен.
Но если из закона исключить допустимость блокировки по сетевым адресам, а оставить только блокировки по доменным именам или указателям страниц, как вообще этот закон соблюдать?
В последнее время многие социальные сети, видеохостинги, поисковики и т.п. перешли на HTTPS. При соединении по HTTPS ни доменное имя, ни тем более адрес страницы без использования MitM атаки невозможно, соответственно невозможно и фильтровать по ним.
В корпоративных сетях MitM атаки на собственных пользователей весьма распространены и уже не удивляют. Но надеюсь, что в отношениях между провайдером и конечным пользователем они всё-таки незаконны.
Более того, в свете последних веяний в сфере прав человека, дизайна протоколов Интернет (не могу найти ссылку на последние рекомендации, но там было написано изначально предусматривать End-to-End Security про разработке новых протоколов) и озабоченностью сохранением сетевого нейтралитета возможность заглянуть внутрь трафика пользователя в скором времени, вероятно, исчезнет совсем, и никакое оборудование DPI не поможет.
Так что блокировкам по IP альтернативы нет.
UPD
filonov напомнил мне про SNI. Действительно, иногда можно узнать доменное имя, запрашиваемое при обращении к HTTPS сайту (хотя я сомневаюсь в большой распространенности SNI). Но URL всё равно узнать нельзя.