Názory k článku Jak blokujeme nepovolené hazardní weby

Je fajn vidět, že to někdo dělá pořádně, náš provider (WMS, wms.cz) prostě vrací 127.0.0.1 :/

V zákoně je napsáno „internetová stránka“ (nikoli např. adresa, doména nebo doménové jméno) a nic víc. To už je pak na každém, jak si svoje rozhodnutí dokáže obhájit před soudem. Například já si myslím, že 1xbet.com a www.1xbet.com je stejné stránka, tudíž je nutné blokovat obě adresy. Co hůř, například 1xbet8.com je také ta stejná stránka.

Vítejte v ČR.

Pokud by 1xbet.com byl cname www.1xbet.com tak ok je to to same. Ale pokud je to obracene tak neni napsano ze ma vas blokovaci script vyzkouset ty a ty moznosti a pripadne blokovat dalsi.

Ja to z "Metodickeho pokynu ..." pochopil tak, ze blokovana internetova stranka bude popsana pouze domenou 1.a 2. radu, tudiz tam spadaji i subdomeny.

Kdyz jsem se dival napr. na t-mobile, tak ti to opravu blokuji na vsechny subdomeny (tedy i www.1xbet.com).

Politici rozhodují o něčem, o čem nemají ani ponětí, jsou na stejné úrovni "seznamářů", tedy internet je éčko a hotovo. Nerozlišují pojmy stránky, IP adresa, doména. Celý zákon je postaven na neznalosti a tmářství lidí, kteří o problematice nic neví. Proč o něčem takovém rozhodují? To je stejné, jako by do práce zkušeného stolaře kafral hostinský. Když nic nevím, držím hubu a sklapnu.

Nevím jak vy, ale já se na tyto stránky z tabletu s androidem bez problémů dostanu. Jestli to nebude tím, že Google to ještě neví, že má na svých serverech něco blokovat

Android pro nektere, zejmena nativni aplikace, ignoruje DNS ze site a pouziva 8.8.8.8 a 8.8.4.4.

Tvl, možná proto ta zmínka o Google, ne?

Díky za článek. Reklamu si blokuji tak jako tak, je to moje rozhodnutí. Nelíbí se mi však, že někdo v tomto směru rozhoduje za mě. Co zakážou příště ... ?

> Co zakážou příště ... ?

To je snadné předpovědět, pokud si přečteš ode dneška účinnou novelu zákona o kybernetické bezpečnosti.

Stát NIKDY nebude mít společný zájem se všemi občany. Možná v komunismu nebo nacismu - po odstranění všech třídních nepřátel a podlidí. Chceme to takhle?

Bohužel ale neodpovídáš na moji otázku. Někdo chce malé daně, někdo velké, diktuje většina a vždycky bude někdo bit. Většina lidí nesází na 1xbet.com a ani neví, co to je. Babiše s jeho pitomým zákonem a Sobotku, který se tvářil jako jeho šéf, volí nadpoloviční většina lidí, tudíž je asi v pořádku těm pár lidem, které ta stránka snad oslovila, zakázat úplně přístup, možná by dokonce mohli zaplatit pokutu za nezákonné obcházení státního ústředního DNS. O jakém konsensu se tu bavíme?

Ale děkuju, že jsi mi aspoň odpověděl slovy. 5 oveček dalo palec dolů a ani nijak konkrétně nezabečely.

A ještě jednou pro ovečky: Kdyby měl občan pocit, že stát to s ním myslí dobře, nemusel by nic obcházet. Vrchní ideolog by mu vysvětlil, proč je špatné chodit tam nebo tam a občánek by se sám praštil po ruce, kdyby začal vyťukávat konkrétní URI.

Nech si to. Reagoval jsi na Caletku jako debil, který to nepochopil, nebo snad ani nečetl. Povídej o ovcích bábě a mámě až půjdou volit.

Tak napiš konkrétně, co jsem řekl blbě, tečko. Reagoval jsem na Caletkův výklad, ne na odkazovaný článek. Do mojí rodiny se nenavážej.

"Kromě toho, že získávání seznamu rozumně nelze automatizovat, to až tak složité není. "

To je divne. Vzdyt ministerstvo prece jasne deklarovalo, ze seznam budou publikovat "ve formatu PDF se strojove citelnou textovou vrstvou". :-D To je tak, kdyz o necem rozhoduje nekdo, kdo tomu nerozumi ...

Ciste teoreticky, kdyz jsem nejakej mensi ISP a prideluju klientum NS od google (8.8.8.8, ....), tak se tim blokovanim musim nebo nemusim zabyvat?

A kdyz to vemu z pohledu klientu Cesnetu, kde drtiva vetsina organizaci pripojenych pres Cesnet (vysoke skoly, statni a vedecke urady, ...) pouzivaji ve svych sitich svoje DNS servery a tyto instituce, pokud tomu spravne rozumim, blokace tohoto typu delat nemusi (nejsou ISP; drtiva vetsina techto organizaci ma svoje rekurzini NS), tak mozna prave koncovych klientu techto siti se tyto blokace dotknou nejmene ...nebo se pletu?

> Ciste teoreticky, kdyz jsem nejakej mensi ISP a prideluju klientum NS od google (8.8.8.8, ....), tak se tim blokovanim musim nebo nemusim zabyvat?

Musíš, protože Google asi podle nějakých praštěných českých zákonů blokovat nebude.

> nejsou ISP

To nikdo neví, viz https://www.root.cz/clanky/blokovani-hazardu-jak-mel-spravne-vypadat-zakon/

Čistě pro informaci jsem se ptal u nás ve škole a z odpovědi mi také nepřišlo, že by si byli nějak jistí.

Vy jste ISP - vy máte blokovací povinnost.
že používáte google dns Vás neomlouvá. neplníte tím zákon.

Bohužel.:(

Přečtěte si diskuze k předchozím článkům. Všechno to už bylo popsáno.

Fitrovaní dns provozu je zase zásah do siťové neutrality.

"Fitrovaní dns provozu je zase zásah do siťové neutrality."

Nas pravni rad IMHO nezna pojem "Sitova neutralita"

Jenže ISP dělá ten zásah na základě zákona, který to požaduje, ten má pak přednost před neutrlalitou v tomto případě. Takže na souzení je leda to, jaký zásah je ještě dostačující pro naplnění loterijního zákona a co už ne (metodický pokyn MF je závazný pro zaměstance ministerstva, nikoliv pro ISP, ale případný soud bude přihlížet k tomu pokynu).

Síťová neutralita? To je přece nezvýhodňování jedné služby na úkor druhé, většinou za nějakou provizi nebo v rámci "společné reklamní akce" - ISP a provozovatel služby nalákají na tu službu zákazníky.

Tady ISPíka nezajímá, kdo leze na nějakou loterii a kolik z toho ta loterijní společnost má. Nevkládá tam na přání Sazky latenci 2s pro Tipsport. Nenabízí rychlejší připojení na konkrétní sázkovou hru. Neblokuje a neomezuj komunikaci se zakázaným serverem. Jenom na základě příkazu shora upravuje DNS odpovědi...

Nikoli, blokovat naopak nesmi vubec nikdo, protoze zakon nijak nedefinnuje ani odkazam na jiny zakon, kdo ze by to jako blokovat cokoli mel. Ale to negramotnej blb Jirsak nemuze samo vedet.

Jenže problém je, že každej si představí něco/někoho jiného a pak se v tom vyznej.

Typickej blb jirsak.

JIrsaku ty debile. Zakon VZDY musi definovat, koho se tyka. Pokud to nedefinuje, tak se netyka NIKOHO a plati to tak ve VSECH zakonech. Napriklad kdo je to spotrebitel zakon pomerne jasne rika. Stejne tak telco zakon rika, kdo je provozovatelem verejne telekomunikacni site ... atd atd ...

To samozrejme kreten kterej vi lautr hovno jako TY nemuze tusit. Pojem poskytovatel pripojeni k internetu proste NEEXISTUJE a tudiz do nej nespada VUBEC NIKDO.

Navic ten TELCO zakon, kterej definuje KDO je onim provozovateleme verejne telco site, zcela jasne deklaruje, ze takovy provozovatel NESMI zadnym zpusobem zasahovat do telco spojeni.

Opet, blb jako TY vubec nema paru o tom, jak zakony funguji. Je provozovatel hospody poskytovetel pripojeni k internetu? Zcela zjevne JE. Protoze to rek kreten jirsak ...

Tak jsem na dovolene v Recku a 1xbet.com je tu take blokovany.

Pozor na DNSSEC. Pokud by byla doména 1xbet.com podepsána, tak se ta RPZ konfigurace normálně neuplatní a bude se to chovat, jako by doména nebyla zablokovaná. Do konfigurace BINDu lze přidat volba break-dnssec yes, pak podepsané záznamy blokované libovolně politikou RPZ vrací jako NXDOMAIN.

Proto jsme považovali přesměrování na nějaké vysvětlující stránky za zbytečné (funguje jen pro nepodepsané domény) a rovnou na 1xbet.com uplatňujeme chování NXDOMAIN.

_{BIND ještě dovoluje přidat vlastní bod důvěry, ale to by vyřešilo jen validaci na rekurzivním resolveru. Těžko tento bod důvěry zkonfigurujete u uživatelů tohoto resolveru (u těch, kteří také validují).}

Ministerstvo by se mělo zažalovat za maření (jejich vlastního...) úředního rozdhodnutí, jelikož neposkytují seznam webů ve strojově čitelném formátu jak deklarovali.
Kdyby se pár ISP spojilo k žalobě, mohla by být legrace...

Dobrý den,
jsem právě v univerzitní síti a web 1xbet.com mi normálně běží. Je chyba někde u nás nebo u CESNETu?

Z článku je docela zřejmé, že nezáleží, zda jste v síti, ale zda využíváte jejich DNS.

Stejně to je zákon na dvě věci. Používám googlí DNS a ta blokovaná stránka mi samozřejmě funguje. Myslím že součástí toho zákona mělo být minimálně to, že poskytovatel bude bránit používání jiného resolveru než toho svého s filtrem, případně k sobě všechny požadavky přesměrovávat. Takhle to bude účinné jen proti úplným počítačovým analfabetům.

Ja si nepreji aby stranky pridavali reklamu a ja si nepreji aby ma policajti pokutovali ked jazdim po meste ako debil. Ja si nepreji platit dane. Ja si nepreji ...

Tak je zakazane hrat neschvalane hry alebo nie? Proti tomuto zakonu nikto nebojuje. Ale ked sa zacne vymahat tak zrazu vsetkym vadi ako sa to vymaha, navyse primitivne ze sa to da lahko obist. Ale neviem preco nikoho nenapadlo porozmyslat ci nahodou nie je nieco zle s povodnym zakonom. A ak je v poriadku tak na co to vyplakavate?

Ne, neschvalene hry neni zakazano hrat. Hrat si muzete co chcete. Je zakazano neschvalene hry provozovat.

Děláte si kozy? Jakože tenhle legislativní zprasek byste ještě více utáhnul? A když se prosadí dns over tls, tak budete unášet nějak i šifrované spoje? Jo vlasntě - pak byste to asi pořešil zákazem šifrování. Poskytovatel by ideálně do komunikace neměl zasahovat vůbec!

To je jeden z těch "kdo nic nepáchá, nemá se čeho bát", případě z těch "i kdyby to mělo zachránit jenom jediný život"...

Geniální. Pane ministře, když už děláte takovou hloupost, nedělejte ji tak hloupým způsobem. Takže až se u ISP rozbijou DNS resolvery, tak mi to (opět) rozbije internet?

>Takhle to bude účinné jen proti úplným počítačovým analfabetům.
Vždycky bude možnost tu blokaci obejít, třeba už jenom díky tomu, že fakt velký firmě nedělá problém si co dva-tři dny registrovat doménu. Počítačový pokročilý si koupí nějakou proxy (nebo vezme TOR), počítačový expert VPN spojení na VPSce někde v [doplit dle libosti]... Zakážeme proxy, VPN, TOR?

Někteří lidé mě opravdu děsí...

Fakt velka firma si muze koupit cele ministerstvo financi. Zas tak velky rozpocet nas bananistan nema. Ale proc by to delala. Urednikovi zase koupime z fondu ztrat ferari a je hotovo. Pokud bude nejaky prusvih, tak se vysetrovatelum rekne at si toho pripadu nevsimaji.

Nase firma ma privatni okruh na druhou stranu evropy a odtamtud teprve poskytuje konektivitu. A resi tu domenu? Neresi. Proc by taky resila kdyz odpovedna osoba ma nejakou CR na haku a ta pokuta je pro ni smesna.

Hrůza!
Mám vlastní DNS server, který se nespoléhá na rekurzi a upadnu tedy do spárů hazardu. Vlastně celá rodina...
Teď abych se bál, kdy ke mně domů vpadne komando pravdy a lásky.

Doma žádný uvědomělý soudruh není. Pochopitelně, tak nějak už ale člověk v podvědomí začíná rozpracovávat varianty teoretické možnosti útoku zvenku od dobrodějů z Anofertu nebo Brusele.
Socialismus není žádná sranda...

Neboj, mistni birokrat ti prijde vykopnout dvere a zkontrolovat, jestli nepalis PETky, a jesli zenu sukas predepsanym zpusobem.

Hele konecne zajimavej post - jakej je ten predepsanej zpusob jak sukat zenu?
Ja zenu sukam mnoha zpusoby, pomale pokazde jinak a jinde, samozrejme mame par oblibenych zpusobu ktere si zopakujeme temer kazdy suk ale je to jen cas toho suku a zbytek suku je proste dle chuti. A ze tech chuti mame.

az budes mit gramotne deti, tak web proxy pro filtrovani HTTP provozu se hodi ...

Az budu mit gramotne deti, tak tohle jim udelat tak mne nakopou do riti a ochranu obejdou. Protoze na rozdil od jistych jedincu za ktere musi myslet stat, ja jim dementni geny nepredam a ony budou schopny mit vlastni mozek.

Myslím, že by stát měl zřídit stejný systém jako mají v Číně a blokovat to na národní úrovni. Stálo by to jen pár miliard a ISP by byli z obliga. Stejně by se ten cenzurní firewall hodil do budoucna, jelikož jsme už v EU totalitě asymptoticky se blížící té čínské.

http://www.rouming.cz/roumingShow.php?file=MTwain.jpg

Na https://blacklist.salamek.cz maji funkcni parsovani pdf, jen nemaji hotove overovani podpisu

+1, podrobnosti zde: http://www.abclinuxu.cz/blog/salamovo/2017/7/czech-blacklist-info-page-api

Proto je to celý web, který předpokládám bude spravovaný lidmi. Vzhledem k tomu, že na implementaci mají poskytovatelé vždycky asi 14 dní, tak mezi tím někdo stihne upravit parser / přidat tam ten job ručně.

Tím nechci tvrdit, že je tenhle přístup správně, samozřejmě, že to už mělo být ve strojově čitelném formátu. Ale momentálně je to dobrý nástroj, který ušetří opruz těm, kdo se tím nechtějí moc zabývat.

Ale on ten parser nejspíš bude fungovat tak, že někdo vloží soubor a texťák, co má být na výstupu. Soubor se zahashuje, hash se použije jako klíč v DB a přidá se ten text.

Uživatel nahraje soubor, spočítá se hash, jeho hodnota se zkusí najít v databázi. Buďto tam je a vrátí to text, nebo není a vrátí to chybu...

Jestli se jako ISP budes spolehat na to ze komunita do 14 dnu vzdy ten parser opravi, tak jste blazen. Ano par blokovanych webu se treba vzdy parser fixne, ale casem to upadne do zapomneni... Reseni je jednoduche, spojit se a vydupat si strojove zpracovane data. Ne tohle.

a jak na to koukam, a jestli si to autor webu cte, bylo by fajn pri nezdarilem parsovani vyhodit nejakou chybu napr na sentry, takhle se o tom nikdo moc nedozvi ze neco selhalo a nepodarilo se vyparsovat.

Mne by zajimalo, proc se ty blokovane domeny presmerovavaji na zaznam ktery obsahuje * ?

1xbet.com 600 IN CNAME *.poker.cesnet.cz.

No ted uz aspon vim co to dela:

$ host 1xbet.com
1xbet.com is an alias for 1xbet.com.poker­.cesnet.cz.
1xbet.com.poker­.cesnet.cz is an alias for poker.cesnet.cz.
poker.cesnet.cz has address 78.128.216.33
poker.cesnet.cz has IPv6 address 2001:718:ff05­:202::33

Pekna finta, ale porad nevim k cemu je to v tomto konkretnim pripade dobre. Napada mne sledovani statistik na DNS serveru cesnetu, nebo tak neco ? Ale kdyz se dotazy cachuji, tak ta statistika asi nebude nic moc.

Super, můj ISP filtruje DNS provoz... *clap* *clap*

Kdyby jenom to, ale takhle vypadá jejich informační stránka...
http://imageshack.com/a/img922/4991/p49ZAs.png

Týká se to třeba i PayPalu?

Ano, současně se seznamem blokovaných webů je i seznam blokovaných účtů, které zase musí banky respektovat. I v tom PDFku MF je jeden účet uveden.
A u bank je to ještě složitější, dostávají seznam účtů (který je neveřejný a banky nevědí z jakého titulu a proč jsou na synamu a jsou na něm i účty sázkovek), kde sice neprovádí blokaci, ale mají informační povinnost, pokud někdo provádí platkby na/z něj.
Takže berme to tak, že kdo neumí obejít blokaci DNS, tak ať fakt nehraje, protože pak by třeba mohl dostat nápad si nechat případnou výhru poslat do ČR...

Primárním účelem je získat daň z příjmu, daň z výhry je osvobozena. Tak jak navrhujete omezit odeslání peněz přes platbu na zahraniční (nerespektujíci, nevymahatelné) autority ?

Blokování znamená vytvoření aparátu na kontrolu a postih, a až se hoši etablují a třikrát obmění a zakotví tam pár šikovných aprátčíků, tak se postarají, aby se blokovalo co nejvíc. Plicie si vytvoří pár "specialistů", v jejichž zájmu bude mít pořád práci a politici si vždycky najdou něco, co by bylo třeba blokovat. Ve výsledku se bude blokovat a kontrolovat víc a víc, protože se s tím jednou začalo.

Ahoj vespolek,

dovolim si prihodit do mlyna další způsob blokovani ...

Na linuxovy routerech lze uzit


$iptables -A FORWARD -p udp --dport 53 -m string --algo bm --icase --hex-string '|05|1xbet|03­|com|00|' -j DROP -m comment --comment "1xbet.com"


kde $iptables = iptables a ip6tables

experimentalne overeno, ze pravidlo funguje a je ucinne i pro cizi DNS servery, je-li na routeru umistenem mezi zákazníkem a internetem. Samozrejme je velmi osklive dotaz zahodit, ale je to funkcni. Pro maly pocet filtrovanych domen je to ok, při vyssim poctu pravidel nejspis poleze nahoru vyrazne i zatez CPU.

Podobne lze vyuzit na mikrotikovem firewallu podminku "content"


/ip firewall filter
chain=forward action=jump jump-target=DNScenzura protocol=udp dst-port=53 log=no log-prefix=""
chain=DNScenzura action=reject reject-with=icmp-port-unreachable content=\051xbet\0­3com\00 log=yes log-prefix="DNS blokovano - 1xbet.com"


U mikrotiku jsem neprisel na to, jak zaridit nerozlisovani malych a velkym pismen - nastesti všechny mnou testovane prohlizece (narozdil treba od Windows pingu) DNS dotaz volaji s malymi pismeny.

Třeba tohle (dobře, trochu brutalni) reseni nekomu pomuze.

Doufám, že toto žádný ISP neuvidí.

A komu tím prospějete? Druhé straně?! :-)

A kolik DNS zaznamu takto budete efektivne blokovat? Predstavte si, ze budete muset seznam rozsirit o dalsi weby, treba 1xbet1.com, 1xbet2.com, ... 1xbet99.com, atd. Kde je limit, pri kterem uz tento filter bude meritelne zpomalovat provoz?

Pobavilo me UPC se svoji blokovaci strankou, bohuzel nemeli koule to tam nechat:

https://web.archive.org/web/20170802130929/https://blocked.dkm.cz/

Moc se mi libi, ze ze stranky poker.cesnet.cz se clovek na dve kliknuti dostane k navodu na obejiti blokace. Krasna prace !

internet nefiltrujeme, neblokujeme a nikdy nebudeme