Vlákno názorů k článku Ondřej Filip: Jak jsem zažil malé, drobné vítězství od Filip Jirsák - Požadavky na konkrétní stránky (část adresy za lomítkem)...
-
Požadavky na konkrétní stránky (část adresy za lomítkem) z HTTPS zjistit nejde, a je to tak záměrně. Dříve nešlo z HTTPS zjistit ani název serveru (doménu) – mohl jste pouze z komunikace zjistit, s jakou IP adresou prohlížeč komunikuje (takže by se dala zakázat veškerá HTTP/HTTPS komunikace na danou IP adresu, což ale můžete udělat jedině v případě, když bezpečně víte, že na té IP adrese jiný web neběží – což nezjistíte). Dneska už většina prohlížečů posílá v nešifrované části HTTPS komunikace i jméno serveru, aby mohl server vybrat správný certifikát, který prohlížeči pošle (pro případ, kdy na serveru běží víc webů s různými certifikáty).
V tom případě je celé blokování nesmyslné, protože obejít ho může provozovatel a ten k tomu motivaci má.
Ano, je to tak. Pokud provozovatel bude na normálním nehazardním webu https://example.com/ mít hazardní část na https://example.com/hazard/, nemůže ministerstvo nechat zablokovat celý web, ale jen tu adresu. Provozovatelé pak také nemůžou blokovat celý web, ale jenom tu adresu – a protože ji z šifrované komunikace nedokážou zjistit, nemůžou blokovat nic.Pokud by provozovatel provozoval hazardní web na celé doméně a byly by blokovaná celá adresa https://example.com/, zkomplikuje tím život ISP. Ti budou muset buď kontrolovat každé navázané HTTPS spojení, zda v něm klient neposílá údaj, že chce certifikát pro example.com. To by uživatel mohl obejít použitím prohlížeče nebo proxy serveru, který tuhle informaci posílat nebude. A nebo bude ISP blokovat převod DNS názvu example.com, což už je velmi sporné, protože tím zasahuje i do jiného provozu, než je jen web. Uživatel to opět může řešit tak, že bude DNS překládat jinak. Pokud by ISP modifikoval pouze odpovědi ze svých serverů, stačí uživateli použít třeba servery Googlu. Jejich odpovědi může ISP modifikovat, ale to už je zase zásah, který jde hodně nad rámec blokování webu a ISP k němu podle mne není oprávněn.
Důležité je, že na straně provozovatele hazardu celé blokování jde obejít triviálně tak, že na stránku https://example.com dá něco neškodného, co vůbec nesouvisí s hazardem, třeba chválu na Babiše, a hazard bude na https://example.com/hazard.
-
S prvním bodem souhlasím. Druhý bod – zákon vyžaduje blokování přístupu na danou stránku. Zobrazení jiné webové stránky by pravděpodobně bylo porušením telekomunikačního zákona a v zákoně o hazardu pro to není žádná opora. Navíc obcházet to snadno mohou i provozovatelé hazardu – stačí, že budou stránku provozovat na HTTPS na nějaké doméně, která bude sloužit i něčemu jinému, než hazardu. No a pokud provozovatel nebude mít motivaci blokování obcházet, asi by se jeho web používal z ČR tak málo, že se mu to nevyplatí – a kvůli pár náhodným přístupům mají provozovat blokovací infrastrukturu všichni ISP v ČR?
Třetí bod – ne, vysoké úspěšnosti nelze dosáhnout nízkými náklady. Musíte být schopen monitorovat veškerý provoz a část z něj zablokovat. To přináší většinu nákladů. Jakým způsobem se to blokování bude provádět, to už je málo podstatný detail. Uvědomte si, že tu blokovací infrastrukturu musíte mít nakoupenou od začátku účinnosti toho zákona, i kdyby se nakonec ukázalo, že na tom seznamu nebude žádný web.
-
MB. (neregistrovaný)
Ad1) V našem právním systému vždy existovala možnost okamžité blokace a to předběžným opatřením soudu. Se všemi možnostmi jak kontrolních tak opravných prostředků. Proč má mit nějaká vyvolená skupina jiný režim, tedy výjimku? Je hazard vice nebezpečný než terorismus? Není. Tak nemá mít nárok na protekční režim.
-
Zaslechl jsem, že některé kavárny apod. veřejné konektivity mají nasazenu transparentní HTTP+HTTPS proxy, která na HTTPS bez nějakých servítků páchá nepokrytý "MITM útok" - takže v dnešní době, kdy některé megakorporace tlačí "HTTPS šmahem všude", prakticky musíte vypnout ověřování certifikátů, pokud si chcete vůbec někam zabrowsit :-(
Taky soudím, že by se naše státní správa měla přece jenom rdít, chtěla-li by problém řešit tímto způsobem, ale u státní správy jeden nikdy neví... -
Ale CZ.NIC to psal v jejich dopisu poslancum "Blokování vybraných internetových stránek tak, jak je upraveno v § 82, představuje nesystémové řešení, které bohužel s vysokou pravděpodobností nepovede ke kýženému výsledku. Ten by bylo možné zároveň dosáhnout mnohem efektivnější cestou a to prostřednictvím blokování plateb na účty vybraných provozovatelů. " a nemelo to zadny smysl. Navic v dnesni dobe, kdy se penize daji prevadet milionem ruznych zpusobu nez jen na ucet... Proste tady neni reseni a jakykoliv zakon bude tak deravy, ze dodrzet nepujde.
-
OB (neregistrovaný)
>> Druhý bod – zákon vyžaduje blokování přístupu na danou stránku. Zobrazení jiné webové stránky by pravděpodobně bylo porušením telekomunikačního zákona a v zákoně o hazardu pro to není žádná opora.
Pokud se dobře pamatuji, o zobrazení vysvětlující stránky se dřív uvažovalo. Blokování bez vysvětlení mě překvapuje, edukace je podle mě to, co by přineslo nejlepší výsledky.
Co se týče HTTPS, je vůbec nějaká možnost, jak HTTPS analyzovat a blokovat pouze požadavky na konkrétní stránky?
Neznám detailně protokoly, ale když nad tím přemýšlím, tak nemám pocit že by to šlo.V tom případě je celé blokování nesmyslné, protože obejít ho může provozovatel a ten k tomu motivaci má.
Tzn. bod 2) je odůvodněný, ale je špatně naformulován: mělo by z něj být patrné, že PROVOZOVATELÉ mají JEDNODUCHÝ způsob, jak blokování obejít.
-
Kolateralni skody nikoho z predkladatelu nezajimaji.
Já si myslím, že tohle naopak nahrává ISP. Obecné zákony podle mne ISP znemožňují, aby jen tak o své vůli blokoval nějaký provoz (pokud to samozřejmě nemá ve smlouvě se zákazníkem). Teď by tenhle zákon nařídil nějaké blokování. V tomhle speciálním případě má tedy to blokování přednost. Tím pádem první pravidlo je, že ISP nesmí zablokovat nic jiného. Druhé pravidlo je, že musí (s přiměřeným úsilím) blokovat určené weby, ale pořád musí být splněno to první pravidlo, které má přednost.Nebo-li to, že kolaterální škody předkladatele nezajímají, je jeho mínus, protože ISP je způsobit nemůže, a tím pádem se mu omezuje prostor, jak weby ze seznamu blokovat.
ministerstvo financi bude udrzovat seznam domen, ktere se nebudou resolvovat a/nebo bude vydavat filtr na konkretni IP/IPv6 adresu.
K tomu ale zákon MF neopravňuje. MF vydává seznam webových stránek – IP adresa ani doména rozhodně nejsou „webová stránka“. -
Přesně tohle mě napadlo, když jsem viděl poprvé příslušnou formulaci v návrhu zákona, nakonfigurovat server tak, aby pro libovolný request generoval totéž, je triviální, a hodně štěstí s vytvářením seznamu závadných adres. A navíc uživatelům můžu dát "fixovaný" přístup třeba tak, že na microsite dané hry (jen reklama, ne závadná hra samotná) hodím odkaz s dostatečně dlouhou náhodně generovanou částí.
-
Podle mě je důležité také to, že TENTO zákon neopravňuje "vedlejší ztráty". Máme ale jistotu, že až nabude účinnosti a ukáže se, že to, co požaduje, ISP opravdu zajistit nezvládnou, nebude následovat novela ve stylu "blokujte domény druhého řádu/IP adresy serverů, pokud je na nich závadná stránka"? A tak, jako se ISP budou starat o blokování, budou se potenciálně ohrožené subjekty snažit, aby "na jejich adresách nebydlely vyvrhelové".
-
Ano, ten zákon (tedy aspoň těch pár kontroverzních paragrafů) je špatně teď, ale i z hlediska deklarovaného záměru (blokování hazardu), až nabude účinnosti, ukáže se, že je k ničemu. Pak jsou dvě možnosti, buď ho zahodit, nebo nějak vylepšit.
Přijde mi, že argument "dnes neúčinný zákon, zítra účinná novela" je z trochu jiného soudku než "dnes jen hazard, zítra cokoliv, co se 'někomu' znelíbí".
-
OB (neregistrovaný)
Není způsob, jak ten zákon o blokování vylepšit, aby takové opatření mělo smysl. Přičemž "vylepšovat" ho Vámi naznačeným způsobem je takový paskvil, že to nemůže projít ani přes poslance; a i kdyby k tomu nějakou nehodou došlo, platnost zákona (resp. novely) pak zruší Ústavní soud (to podle mě hrozí už současné změně).
-
Sepsali slohove cviceni a overili jeho neefektivitu. Predkladatele se tedy neptali a ani nepresvedcili zadneho poslance, aby se ptal misto nich?
Muzete prosim specifikovat jakymi miliony zpusobu prijimaji platby zahranicni sazkove agentury? Ja vim jen o platbe kartou nebo prevodem na ucet, coz je pro samotny dohled prast jako uhod.
-
OB (neregistrovaný)
V tom je právě ten vtip: Zákon nemůže uložit nesplnitelnou povinnost - takové nařízení by bylo neplatné. Není-li možné blokovat 100%, pak je takový požadavek zjevně neplatný => požadavek je splněn jakýmkoli "rozumným" pokusem o blokování.
Právní bitva by se tedy vedla o to, jaké technické opatření již činí zákonu za dost a jaké ne - přičemž hlavními argumenty budou (A) náklady a účinnost jednotlivých opatření a (B) nákladnost opatření versus obrat/zisk jednotlivých ISP - jejich oprávněným zájmem je totiž provozovat svou živnost, a tento zájem je pro společnost zjevně vyšší/hodnotnější než blokování hazardu => ministerstvo po nich nebude moct vyžadovat opatření, která jsou na ně příliš drahá.
-
lojza (neregistrovaný)
ono pokud se nebudou blokovat konkrétní ip adresy, tak si dovedu představit řešení, že hazardní web bude funkční na libovolné náhodné subdoméně, nebo libovolné náhodné stránce pod nějakou doménou, takže i kdyby měli ISP funkční systém na blokování konkrétních stránek i na https, tak jediným výsledkem bude donekonečna rostoucí seznam náhodných adres. Pokud to blokování nebude stylem globálního firewallu, tak to prostě nejde.
-
OB (neregistrovaný)
Ač s navrhovanou legislativou nesouhlasím, argumenty odpůrců mi přijdou přehnaně hysterické. Důsledkem je, že nemůžu s klidným svědomím podepsat prichazicenzor.cz, protože:
1) "Umožní úředníkům ministerstva financí označovat internetové stránky za „nepovolený hazard“ a cenzurovat tak internet."
Každý nástroj je zneužitelný, proto tu máme ústavní pojistky a tři pilíře moci. Kdyby se někdo o takové zneužití pokusil, velmi pravděpdobně by za to byl trestně odpovědný.
Daná formulace je tedy přehnaně hysterická - sice není správné dávat takovou pravomoc do rukou úředníkům, ale není to zase tak kritické, jak je avizováno.2) "Blokování internetových stránek je prakticky nerealizovatelné a vždy se najdou možnosti, jak ho obejít."
Jenže to předpokládá snahu = motivaci uživatelů blokování obcházet. Pokud se uživateli zobrazí srozumitelné varování, že daná stránka je nelegální kvůli daňovým únikům a že mu hrozí taková a taková pokuta, pak bude snaha to obejít minimální.
Nemluvě o tom, že by se na téhle stránce daly skvěle prodávat reklamní pozice legálním hernám (win - win).3) "Donutí poskytovatele internetového připojení cenzurovat internet na své náklady, což samozřejmě pocítí koncoví uživatelé internetu."
Úzce souvisí s předchozím bodem: je-li motivace k obcházení blokování takřka nulová, pak lze vysoké úspěšnosti dosáhnout s nízkými náklady.
Krom toho je zřejmé, že blokování nikdy nebude mít 100% účinnost. Čili vždy bude nutno nastavit nějakou hranici přiměřené efektivity (cena/účinek); a nestanoví-li ji přímo zákon, pak je na samotných ISP, aby si ji určili (případný spor s ministerstvem rozhodne nezávislý soud).
4) "Jedná se o bezprecedentní rozhodnutí, které může spustit lavinu dalších seznamů zakazovaných internetových stránek."
Jakých? A proč? Zní mi to jenom jako takové "bu bu bu", protože:
A) Pořád máme ty ústavní pojistky a tři pilíře moci; nejpozději ústavní soud cenzurní opatření zruší.
B) Snaha o skutečnou cenzuru vzbudí patřičnou pozornost a všeobecný odpor.
C) Pro skutečnou cenzuru by bylo potřeba lepších = dražších technických opatření, protože motivace cenzuru překonat by byla řádově vyšší. Tzn. technická opatření přiměřená pro blokování nelegálního hazardu by byla pro skutečnou cenzuru nedostatečná.
D) Sami ISP by skutečnou cenzuru odmítli aplikovat (asi ne všichni, ale významná část jistě; soudy by jim daly za pravdu). -
lojza (neregistrovaný)
ad 3) jenže zákon ukládá povinnost zamezit přístup na stránky dle seznamu a nehovoří nic o možnosti si stanovit přiměřenou efektivitu. Navíc ISP je zde pouze prostředník, který má na vlastní náklady nebo za peníze zákon neporušujících zákazníků, řešit problém mezi státem a nelegálními sázkaři. Ještě kdyby stát ISP platil a dostal blokování odpovídající tomu co si zaplatil. Když si mohou telko operátoři a pošta nárokovat příspěvky na provoz ztrátové univerzální služby, kterou po nich stát požaduje, proč stát takové náhrady nepřiznává i pro ISP, když po nich něco chce.
-
fd (neregistrovaný)
Ad 1) nikoli, sankce jsou stanoveny vyhradne smerem k ISP, urednik, ktery by nechal zablokovat web neopravnene, by sice porusil zakon, ale byl by nepostizitelny.
Nehlede na to, ze i kdyby hypoteticky doslo na nejake to zneuziti pravomoci, tak by realne hrozila maximalne podminka, a to uz za nejaky ten obulus jiste stoji.
ad 2) kolik % populace sazi po internetu? A kolik % z tech lidi bude sazet v CR? Presne 0, protoze 100% znich behem minuty na internetu najde postup, pripadne si jej prectou na sekundarnim webu provozovatele.
Zadne varovani se zobrazit nemuze a ani nesmi. Minimalne by slo o poruseni telco zakona, nadto neexistuje ani technicky realizovatelny postup.
ad 3) zjevne vubec netusite o cem je rec. Zablokovat lze snadno a levne IP, jenze to v dobe virtualnich hostingu povede automaticky k zablokovani ne jednoho, ale tisicovky webu zcela nesouvisejicich. Obejit to lze zcela trivialne a zdarma - treba pouzitim toru. Ten zvladne nainstalovat BFU asi tak za minutu.
Opet, neexistuje zadny technicky postup jak toho dosahnout, krome jedineho - spustit velky cesky firewall, zablokovat vse a povolit jen to, co urednik schvali.
ad 4) dalsi v poradi bude tzv "decke porno" http://www.lupa.cz/clanky/wikipedia-podle-iwf-siri-detske-porno/ pak budou nasledovat zakazane nazory - nejdrive nacismus a spol, pak i cokoli, co nekdo onalepkuje jako extremismus. Ve finale cokoli, co bude v rozporu s aktualne protlacovanym svetonazorem.
Apropos, zjevne nechapete, ze fimu muze zablokovani webu znicit behem nekolika malo dnu, to ze za 15 let vyhraje soud ji uz nijak nepomuze.
A jako tresnicku na dortu lze ocekavat nejake ty arbitraze, ktere CR nemuze v ramci EU ustat.
-
. (neregistrovaný)
bod 1 je prave to nejhorsi na tomto zakone. Obchazi jiz zminene tri pilire moci tim, ze dava moci vykonne moc soudni. Zlobovani zakonodarci, kteri tvrdi, ze soudy nejsou dostatecne rychle, asi neznaji Predbezne opatreni.
k bodu 4 jen hlaska ze Star wars - 'So This Is How Liberty Dies...With Thunderous Applause'
-
Podle mne je důležité také to, že zákon neopravňuje žádné „vedlejší ztráty“ (samozřejmě až na nějaké marginálie, které nikdo nemusí očekávat). Takže podle mne třeba není možné blokovat IP adresu, protože ISP nemůže vědět, zda na té IP adrese není provozován i jiný web – a k blokaci toho jiného webu není oprávněn. Ze stejného důvodu podle mne není reálně možné použít ani blokaci na úrovni DNS záznamů – protože ty DNS záznamy může používat i jiná služba.
