Zákon o hazardu a filtrace ?

dalibortoman

Tak už máme seznam

http://www.mfcr.cz/cs/soukromy-sektor/h ... tovych-her

rozjedeme nepovolenou hazardni hru o tom, zda nekoho na MVCR napadne, ze by ten seznam mohl byt stazitelny a parsovatelny strojove?

majklik

Metodika zde: :-)

ludvik

By bylo moc jednoduché, ne? Čekám, že budou lidi nadávat na to pdf, tak zruší i jeho textovou vrstvu ... a přepisujte si to jak chcete.

majklik

Správně, takže každý svůj OCR server pro parsování dokumentů. Nejlépe by bylo dát fotografii nástěnky s vyvěšenými dokumenty. :-)

Takže kdo používá bind jako resolver pro klienty, tak do named.conf (do sekce options nebo view):

response-policy { zone "blockmap"; } break-dnssec yes;

zone "blockmap" {

type master;

file "data/named.blockmap.map";

};

A soubor named.blockmap.map:

$TTL 1h

$ORIGIN blockmap.

@ SOA blockmap. nobody.blockmap. ( 1 12h 15m 3w 2h )

NS nonexist.nowhere.net.

vlada.cz CNAME .

*.vlada.cz CNAME .

mfcr.cz CNAME *.

*.mfcr.cz CNAME *.

psp.cz A 100.66.66.66

*.psp.cz A 100.66.66.66

Pro první způsobí hlášení, že doména neexistuje (.), pro druhé hlášení, že existuje a neobsahuje žádná data (*.) a pro třetí bude vracet IP adresu 100.66.66.66, kde je doporučen web hlásající:

"Internetová stránka byla zablokována na základě rozhodnutí Ministerstva financí, neboť na ní byla provozována hazardní hra v rozporu s § 7 odst. 2 písm. b) zákona č. 186/2016 Sb., o hazardních hrách."

A tak doplňovat dále, dle seznamu...

Poznámka: Domény v ukázce byly vymyšleny po požití 0,4 litru kubánského rumu, případná shoda s existujícími doménami je čistě náhodná....

hocimin1

- jak ja preci mohu rucit za to ze si nekdo zmeni DNS servery ? I kdyz mu zadam do routeru moje, nebo nejake nasmlouvane DNS, tak stejne si muze on dat na PC uplne jine a to ja neovlivnim

- presmerovani na stranku s informaci, ze ho blokuji nepujde pokud se jedna https vzdyt se to tady resi v jinem vlakne. Stejne jako presmerovanim DNS zaznamem DNSSEC ?

Metodika zde: :-)

ludvik

Díky.

Poznámka: Domény v ukázce byly vymyšleny po požití 0,4 litru kubánského rumu, případná shoda s existujícími doménami je čistě náhodná....

Ale potěšilo ... usmívám se ještě teď. A to mezi tím nadávám na výpadky elektřiny.

cerva

Však za to ISP nezodpovídá, viz 4.2.2 v odkazované metodice. Účelem hry je zablokovat přístup, přesměrování není povinné, a tedy nemusí fungovat.

Že je to celé téměř neúčinná pitomost je na delší diskuzi, ale s DNS filtrací jsme dopadli ještě docela dobře. Škoda jen toho dementního systému uveřejňování seznamu, taky to mohli poskytnout třeba v JSON nebo XML.

- jak ja preci mohu rucit za to ze si nekdo zmeni DNS servery ? I kdyz mu zadam do routeru moje, nebo nejake nasmlouvane DNS, tak stejne si muze on dat na PC uplne jine a to ja neovlivnim

- presmerovani na stranku s informaci, ze ho blokuji nepujde pokud se jedna https vzdyt se to tady resi v jinem vlakne. Stejne jako presmerovanim DNS zaznamem DNSSEC ?

Metodika zde: :-)

reset

osobne si myslim, ze je to absolutni stupidita a proto na to zvysoka seru.

Stejne jako na zakaz koureni a dalsi uchylky co si nasi pomateni nevoleni mocipani vymysleli.

myghael

Do lokálního resolveru se to jednou za týden naháže, na webserveru se nahodí stránka s informací a nazdar. Že si X lidí na radu něčí nebo z internetu nastavilo DNS Google nebo CZ.NIC? To není můj problém. 8) Nebo jsem to pochopil špatně?

honzam

https://www.nepovolenainternetovahazardnihra.cz/

seppuku

jak asi každý předpokládal, je to ROFL :-)

okoun

Do lokálního resolveru se to jednou za týden naháže, na webserveru se nahodí stránka s informací a nazdar. Že si X lidí na radu něčí nebo z internetu nastavilo DNS Google nebo CZ.NIC? To není můj problém. 8) Nebo jsem to pochopil špatně?

no pro jistotu si můžeš udělat pravidélko že zakážeš dns z venku a nebo že dns z venku přesměruješ na tvoje....

majklik

no pro jistotu si můžeš udělat pravidélko že zakážeš dns z venku a nebo že dns z venku přesměruješ na tvoje....

Tohle bych nedělal. Je to dost hnusné a metodika to nepožaduje. Maximálně (co vím, tak někteří tak půjdou), tak DNS dotazy ven nechávám procházet, ale aplikuji na ně L7 firewall (na UDP a TCP portu 53, 5353 a pár podobných) na porovnávání zakázaných DNS jmen v dotazech a dropovat jen tyto konkrétní dotazy, pokud se objeví jméno doména ze seznamu. Tím nechám zákoše používat cizí DNS (pokud vlastní nemám a cpal jsem lidem třeba Googla), ale přitom shodím dotazy na problematické domény. Ale blokovat to komplet nebo unášet pomocí DSTNAT, to už je moc nad rámec.

jak asi každý předpokládal, je to ROFL :-)

Zůstal bych v klidu (co mi to aktuální promile dovoluje). Beru to tak, že to je nejjednodušší, co jde sndno udělat a ouřadovi to je jasné. Vyhoví to ZATÍM metodice a použivá se to i v okolních státech. Pokud si nějaký koncák toto neumí obejít, tak ať fakt pak nesází, protože krom ISP blokády je i bankovní blokáda/bonz a pokud by si ten blbec nechal poslat výhru pak do Česka, tak ho musí banka nabonzovat na MFČR a nebohého gamblera čeká 100% daň z daného převodu plus flastr klidně o dva řády nad získanou částkou (tohle už zvládlo dříve MFČR i předvést v praxi).

Smích ztuhne ve chvíli, až MFČR dá na idnex facebook.com a podobné. :-)

majklik

Však za to ISP nezodpovídá, viz 4.2.2 v odkazované metodice. Účelem hry je zablokovat přístup, přesměrování není povinné, a tedy nemusí fungovat.

Že je to celé téměř neúčinná pitomost je na delší diskuzi, ale s DNS filtrací jsme dopadli ještě docela dobře. Škoda jen toho dementního systému uveřejňování seznamu, taky to mohli poskytnout třeba v JSON nebo XML.

- jak ja preci mohu rucit za to ze si nekdo zmeni DNS servery ? I kdyz mu zadam do routeru moje, nebo nejake nasmlouvane DNS, tak stejne si muze on dat na PC uplne jine a to ja neovlivnim

Přesně tak, já mám povinnost nabízet zákazníkovi DNS resolvery (buď vlastní nebo od smluvního partnera), které budou provádět danou filtraci. Takže pokud nastavuji koncákovi WAN dynamicky (DHCP, PPPoE, TR069, ...), tak mu budu tlačit sadu filtrujících DNS. Pokud zákazníkovi předávám papír s parametry linky, tak na něm je také odkaz na filtrující DNS resolvery, stejně tak mu takové bude nabízet infolinka nebo popis nastavéní na servisním webu a taktéž technik, pokud dojde mu to nastavit, tak dá filtrující sadu a splnil jsem.

Pokud si to pak zákazník změní na něco jiného, co ho neochrání od démona nelegalních online heren, tak je to čistě jeho problém....

- presmerovani na stranku s informaci, ze ho blokuji nepujde pokud se jedna https vzdyt se to tady resi v jinem vlakne. Stejne jako presmerovanim DNS zaznamem DNSSEC ?

Nu, někoho to přesměruje a někoho ne. Primární požadavke je zablokovat, pokud se náhodou podaří přesměrovat, tak je to malé nenutné plus, aby zákoš věděl na jistotu na čem je.

Data procházející přes můj resolver můžu změnit i když jsou podepsán pomocí DNSSEC, zkrátka DNSSEC z toho odstraním. Pokud koncový zákazník nedělá DNSSEC validaci u sebe, tak poslaná data sežere a pokud validaci provádí, tak co mu pošlu zahodí jako nevalidní, takže účel byl také splněn (proto je v té ukázkové konfiguraci pro bind použito dnssec-break yes, protože normálně se filtr neuplatní, pokud by sahal na podepsaná data, takto dnssec odstraní a zachová se dle požadavků v RPZ zóně, lehce zjednodušeně popsáno).

okoun

myslíte že úřady budou tlačit na google aby v dns také udělal blokace?

majklik

Ne, Googlu se to netýká, tomu je to jedno, pokud se nerozhodne dobrovolně takto blokovat dotazy.

Google není podnikatel evidovaný u ČTU dle §13 ZoEK, takže po jeho DNS serverech nemá kdo co požadovat s ohledme na loterijní zákon, pokud si to s ním smluvně nevyřešíš a nezváže se ti, že pro tvoje požadavky to bude filtrovat. :-)

A podobně to platí pro řadu dalších poskovatelů veřejně dostupných DNS.

ludvik

Teď ještě kdo spadá pod SPRDEL dle noticky 8 na stránce 5.

raven-il

;)

majklik

Teď ještě kdo spadá pod SPRDEL dle noticky 8 na stránce 5.

Nu, o sobě asi pochybovat nemusíš, máš snad proveden samoregistrační bonz na ČTU. :-)

Z pohledu toho, kdo by se měl bát, že se chová jak ISP a zapomenul se registrovat, tak ten bude mít asi loterijní zákon a turo instrukci k němu na háku, protože pokud by si měl dělat starosti, tak to už "dávno", třeba s ohledem na kontrolní hlášení na telko služby (kde se operuje s podobnou formulací) a dá se najít prá dalších bodů...

To už spíše přemýšlet, že když nám to filtrování tak hezky prošlo, bude se to hezky dělat a faktick to většinu nebude aktuálně bolet, tak kdy nastoupí pozvolné zvyšování teploty při vaření žáby a pomalé, nenápadné a neúprosné utahování šroubů více...

info_adambalko_cz

To už je tu dávno, jen je rozprostřeno do celého systému a zatím to nebolelo dostatečně velkou skupinu osob, ideálně všechny :/

Teď ještě kdo spadá pod SPRDEL dle noticky 8 na stránce 5.

Nu, o sobě asi pochybovat nemusíš, máš snad proveden samoregistrační bonz na ČTU. :-)

« Předchozí stránka Další stránka »