Семинар "Право и Интернет" Декабрь 2002 года (часть 3 из 5)
Внимание:
Date: Mon, 16 Dec 2002 00:39:29 +0300
From: "Stanislaw Z. Raczynski"
Subject: Re: Information Society Provider Liability
---- Original Message ----
From: "Victor Naumov"
To: "netlaws List Member"
Sent: Sunday, December 15, 2002 11:13 PM
Subject: [netlaws] Information Society Provider Liability
>> Если отодвинуть в сторону "владельцев форумов", то позиция "оператор
>> вмешивается в контент только в случаях _крайней необходимости_" - это
>> позиция, выгодная и необходимая для общества. Иначе завтра владелец
>> передатчика будет осуществлять цензуру телеканалов; киоскер будет
>> ножницами кромсать страницы с "клеветническими", на его взгляд,
>> статьями и т.д.
> Т.е., все-таки, вмешиваться в определенных ситуациях он должен?
Где вы это увидели? Крайняя необходимость - это обстоятельство,
освобождающее от ответственности за совершение неправомерных действий
(сейчас пуристы заклюют за неправильное определение, но лень сейчас возиться
с терминологией ;-). Это _право_, а не обязанность, причем весьма
ограниченное право. И каждый случай использования такого права, в принципе,
должен бы становиться предметом разбирательства - на предмет допустимости и
соразмерности.
Фактически Вы говорите о суде Линча, как более эффективном средстве
разрешения споров в вопросах информационного обмена :-).
>> Действительно, что плохого в просвещенной цензуре? Цензор всегд
>> сможет отличить дурное от доброго и вечного :)
> Какая ж это цензура, когда осуществляются действия по защите прав при
> неправомерных действиях??
Хммм... Виктор, Вы и вправду полагаете, что цензоры (кроме особо циничных)
считали, что они ограничивают правомерные действия?
> Кстати, чуть в сторону, но о "цензуре". Как согласуются рассуждения о
> свободе слова с борьбой против спама? :-)
Если бы среди читателей нашего списка был Андрей Столяров, то Вы сейчас
получили бы достаточно подробную и убедительную лекцию на тему: "свобода
распространять информацию не может ограничивать свободу _не слушать_". Я
думал, что в среде юристов подобные различия очевидны ;-). Завтра поищу
стаьи на эту тему и размещу здесь ссылки.
>> Если провайдер вправе сам удалять оскорбления в адрес женщины, то
>> когда ему авторитетные люди в штатском сообщат о клевете в адрес
>> любимого президента - он и подавно это вправе сделать?
> Следуя данной логике, то, чтобы не ослабла воля к невыполнению
> "пожеланий" людей в штатском, необходимо стойко противостоять любым
> посягательствам против свободы оскорблений женщин...
Совершенно верно. Если "немножко цензуры" можно, то где граница? Кстати,
ровно такой способ _искушения_ давно известен искусителям всех мастей, в том
числе и спецслужбам. Допустимая граница лжи, допустимая доля подлости... Так
не бывает. Табу - это табу.
>> Надо ли удалять "клеветнические", на первый взгляд, сведения о
>> прослушивании штаб-квартиры конкурирующей партии? (Уотергейт с этого
>> начинался).
> Я позволю себе обратить внимание, что я ни разу о необходимости
> вырезания всех сообщений\отключения всех серверов\удаления всех
> пользователей... по любой жалобе ... не упоминал.
Оператор связи не может быть цензором - никогда, ни в какой ситуации, ни при
каких обстоятельствах! Иначе очень быстро получится полноценное воплощение
Оруэлла.
--
С наилучшими пожеланиями,
Станислав Рачинский
------------------------------
Date: Mon, 16 Dec 2002 01:03:24 +0300
From: "Andy Mincov"
Subject: Re: Information Society Provider Liability
> Оператор связи не может быть цензором - никогда, ни в какой ситуации, ни
при
> каких обстоятельствах! Иначе очень быстро получится полноценное воплощение
> Оруэлла.
Совсем недавно пытались (не Вы) сделать неприкасаемыми журналюг, которые
могут клеветать, нести бред и полную чушь, не платить налоги, не отдавать
долги и все выпады в свой адрес называют "гонениями на свободу слова".
Теперь (уже Вы) хотите сделать неприкасаемыми хостеров (операторов связи)...
Замечательно выходит...
Андрей Минков, к.ю.н.
Защита авторских прав
(www.copyrighter.ru)
(andy@)
------------------------------
Date: Mon, 16 Dec 2002 01:03:42 +0300
From: Victor Naumov
Subject: Re: Information Society Provider Liability
Monday, December 16, 2002, 12:39:29 AM, you wrote:
SZR> ---- Original Message ----
SZR> From: "Victor Naumov"
SZR> To: "netlaws List Member"
SZR> Sent: Sunday, December 15, 2002 11:13 PM
SZR> Subject: [netlaws] Information Society Provider Liability
>>> Если отодвинуть в сторону "владельцев форумов", то позиция "оператор
>>> вмешивается в контент только в случаях _крайней необходимости_" - это
>>> позиция, выгодная и необходимая для общества. Иначе завтра владелец
>>> передатчика будет осуществлять цензуру телеканалов; киоскер будет
>>> ножницами кромсать страницы с "клеветническими", на его взгляд,
>>> статьями и т.д.
>> Т.е., все-таки, вмешиваться в определенных ситуациях он должен?
SZR> Где вы это увидели? Крайняя необходимость - это обстоятельство,
SZR> освобождающее от ответственности за совершение неправомерных действий
SZR> (сейчас пуристы заклюют за неправильное определение, но лень сейчас возиться
SZR> с терминологией ;-). Это _право_, а не обязанность, причем весьма
SZR> ограниченное право. И каждый случай использования такого права, в принципе,
SZR> должен бы становиться предметом разбирательства - на предмет допустимости и
SZR> соразмерности.
Тогда, извините, я неправильно понял фразу "оператор вмешивается..."
SZR> Фактически Вы говорите о суде Линча, как более эффективном средстве
SZR> разрешения споров в вопросах информационного обмена :-).
Не говорю я об этом... Конечно, если во всех моих тезисах всюду
вставлять слова "всегда", то... можно говорить о противоположных
тезисах как о фактической анархии как наиболее оптимальном средстве
стимулирования обмена информацией.
>>> Действительно, что плохого в просвещенной цензуре? Цензор всегд
>>> сможет отличить дурное от доброго и вечного :)
>> Какая ж это цензура, когда осуществляются действия по защите прав при
>> неправомерных действиях??
SZR> Хммм... Виктор, Вы и вправду полагаете, что цензоры (кроме особо циничных)
SZR> считали, что они ограничивают правомерные действия?
>> Кстати, чуть в сторону, но о "цензуре". Как согласуются рассуждения о
>> свободе слова с борьбой против спама? :-)
SZR> Если бы среди читателей нашего списка был Андрей Столяров, то Вы сейчас
SZR> получили бы достаточно подробную и убедительную лекцию на тему: "свобода
SZR> распространять информацию не может ограничивать свободу _не слушать_". Я
SZR> думал, что в среде юристов подобные различия очевидны ;-). Завтра поищу
SZR> стаьи на эту тему и размещу здесь ссылки.
Подождите, мы говорим о провайдерах, к-е режут трафик; они не
получатели, но, почему-то, прекрасное свободное душат без зазрения
совести... :-)
Почему один московский провайдер резал мою почту, которую я
посылал с помощью www.spbnit.ru (Петерб. Телеф. Сеть)? Я письма не им посылал, а их
клиентам, с которыми работаю несколько лет. Так, где ж тут свобода?
Как-то, вспоминается клише из международных отношений о двойных
стандартах ... :-)
>>> Если провайдер вправе сам удалять оскорбления в адрес женщины, то
>>> когда ему авторитетные люди в штатском сообщат о клевете в адрес
>>> любимого президента - он и подавно это вправе сделать?
>> Следуя данной логике, то, чтобы не ослабла воля к невыполнению
>> "пожеланий" людей в штатском, необходимо стойко противостоять любым
>> посягательствам против свободы оскорблений женщин...
SZR> Совершенно верно.
Вот, тут, наверное, кроется основное противоречие.
Прошу простить, но этого я принять не могу :-)
Свобода информации - это не абсолютное право! Оно ограничено
обязанностью субъектов распространять таковую законными способами +
общим требование отсутствия злоупотребления правом.
С уважением,
Виктор Наумов
---
http://www.russianlaw.net
nau@
ICQ UIN 1383430 (only working hours)
St.Petersburg Institute for Informatics RAS
PO BOX 443, 199034, St.Petersburg, Russia
---
Use extra e-mail nau@
in error cases with nau@
------------------------------
Date: Mon, 16 Dec 2002 01:00:51 +0300
From: "Anton G. Sergo"
Subject: =?koi8-r?B?78IgydrNxc7FzsnRyCDJIMTP0M/MzsXOydHIINcg2sHLz84gIu8g1M/XwdI=?= =?koi8-r?B?ztnIINrOwcvByC4uLiI=?=
Приветствую!
Как-то в пылу других дискуссий в рассылке не прозвучало, что в День
Конституции России Путин подписал Федеральный закон об изменениях и
дополнениях в закон "О товарных знаках, знаках обслуживания и наименованиях
мест происхождения товаров".
С уважением, mail@
Антон Г. Серго www.internet-law.ru
Ведущий Проекта "Интернет и Право"
------------------------------
Date: Mon, 16 Dec 2002 01:16:43 +0300
From: "Andy Mincov"
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSDvwiDJ2s3FzsXOydHIIMkgxM/Qz8zOxc7J0Q==?= =?koi8-r?B?yCDXINrBy8/OICLvINTP18HSztnIINrOwcvByC4uLiI=?=
а он и СФ уже пролетел?
Андрей Минков, к.ю.н.
Защита авторских прав
(www.copyrighter.ru)
(andy@)
----- Original Message -----
From: "Anton G. Sergo"
To: "netlaws List Member"
Sent: Monday, December 16, 2002 1:00 AM
Subject: [netlaws] Об изменениях и дополнениях в закон "О товарных
знаках..."
> Приветствую!
>
> Как-то в пылу других дискуссий в рассылке не прозвучало, что в День
> Конституции России Путин подписал Федеральный закон об изменениях и
> дополнениях в закон "О товарных знаках, знаках обслуживания и
наименованиях
> мест происхождения товаров".
>
>
> С уважением, mail@
> Антон Г. Серго www.internet-law.ru
> Ведущий Проекта "Интернет и Право"
>
>
------------------------------
Date: Mon, 16 Dec 2002 01:18:44 +0300
From: "Anton G. Sergo"
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSBSZTogW25ldGxhd3NdIO/CIMnazcXOxc7J0Q==?= =?koi8-r?B?yCDJIMTP0M/MzsXOydHIINcg2sHLz84gIu8g1M/XwdLO2cgg2s7By8HILi4=?= =?koi8-r?B?LiI=?=
Принят Государственной Думой 13 ноября 2002 г. и одобренный Советом
Федерации 27 ноября 2002 г.
См. http://info.nic.ru/news/2002/12/15-01.html
С уважением, mail@
Антон Г. Серго www.internet-law.ru
Ведущий Проекта "Интернет и Право"
----- Original Message -----
From: "Andy Mincov"
To: "netlaws List Member"
Sent: Monday, December 16, 2002 1:16 AM
Subject: [netlaws] Re: [netlaws] Об изменениях и дополнениях в закон "О
товарных знаках..."
> а он и СФ уже пролетел?
>
>
>
> Андрей Минков, к.ю.н.
> Защита авторских прав
> (www.copyrighter.ru)
> (andy@)
>
>
> ----- Original Message -----
> From: "Anton G. Sergo"
> To: "netlaws List Member"
> Sent: Monday, December 16, 2002 1:00 AM
> Subject: [netlaws] Об изменениях и дополнениях в закон "О товарных
> знаках..."
>
>
> > Приветствую!
> >
> > Как-то в пылу других дискуссий в рассылке не прозвучало, что в День
> > Конституции России Путин подписал Федеральный закон об изменениях и
> > дополнениях в закон "О товарных знаках, знаках обслуживания и
> наименованиях
> > мест происхождения товаров".
> >
> >
> > С уважением, mail@
> > Антон Г. Серго www.internet-law.ru
> > Ведущий Проекта "Интернет и Право"
> >
> >
>
>
------------------------------
Date: Mon, 16 Dec 2002 01:24:53 +0300
From: "Andy Mincov"
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSBSZTogW25ldGxhd3NdIFJlOiBbbmV0bGF3cw==?= =?koi8-r?B?XSDvwiDJ2s3FzsXOydHIIMkgxM/Qz8zOxc7J0cgg1yDawcvPziAi7w==?= =?koi8-r?B?INTP18HSztnIINrOwcvByC4uLiI=?=
о как
спасибо за инфо
надо будет и мне вывесить :)
Андрей Минков, к.ю.н.
Защита авторских прав
(www.copyrighter.ru)
(andy@)
----- Original Message -----
From: "Anton G. Sergo"
To: "netlaws List Member"
Sent: Monday, December 16, 2002 1:18 AM
Subject: [netlaws] Re: [netlaws] Re: [netlaws] Об изменениях и дополнениях в
закон "О товарных знаках..."
> Принят Государственной Думой 13 ноября 2002 г. и одобренный Советом
> Федерации 27 ноября 2002 г.
>
> См. http://info.nic.ru/news/2002/12/15-01.html
>
>
> С уважением, mail@
> Антон Г. Серго www.internet-law.ru
> Ведущий Проекта "Интернет и Право"
>
> ----- Original Message -----
> From: "Andy Mincov"
> To: "netlaws List Member"
> Sent: Monday, December 16, 2002 1:16 AM
> Subject: [netlaws] Re: [netlaws] Об изменениях и дополнениях в закон "О
> товарных знаках..."
>
>
> > а он и СФ уже пролетел?
> >
> >
> >
> > Андрей Минков, к.ю.н.
> > Защита авторских прав
> > (www.copyrighter.ru)
> > (andy@)
> >
> >
> > ----- Original Message -----
> > From: "Anton G. Sergo"
> > To: "netlaws List Member"
> > Sent: Monday, December 16, 2002 1:00 AM
> > Subject: [netlaws] Об изменениях и дополнениях в закон "О товарных
> > знаках..."
> >
> >
> > > Приветствую!
> > >
> > > Как-то в пылу других дискуссий в рассылке не прозвучало, что в День
> > > Конституции России Путин подписал Федеральный закон об изменениях и
> > > дополнениях в закон "О товарных знаках, знаках обслуживания и
> > наименованиях
> > > мест происхождения товаров".
> > >
> > >
> > > С уважением, mail@
> > > Антон Г. Серго www.internet-law.ru
> > > Ведущий Проекта "Интернет и Право"
> > >
> > >
> >
> >
>
>
-----------------------------
Date: Mon, 16 Dec 2002 01:25:42 +0300
From: "Stanislaw Z. Raczynski"
Subject: Re: Information Society Provider Liability
---- Original Message ----
From: "Andy Mincov"
To: "netlaws List Member"
Sent: Monday, December 16, 2002 1:03 AM
Subject: [netlaws] Information Society Provider Liability
> Совсем недавно пытались (не Вы) сделать неприкасаемыми журналюг,
> которые могут клеветать, нести бред и полную чушь, не платить налоги,
> не отдавать долги и все выпады в свой адрес называют "гонениями на
> свободу слова".
> Теперь (уже Вы) хотите сделать неприкасаемыми хостеров (операторов
> связи)... Замечательно выходит...
Я всего лишь хочу, чтобы каждый занимался своим делом и отвечал за него:
владелец контента - за контент, оператор - за связность. И т.д.
Я не хочу, чтобы гостиница проверяла (по обоснованному сигналу!), не пришел
ли я туда спать с чужой женой и даже (о ужас!) почему я поселился в одном
номере со своей несовершеннолетней дочерью.
Я не хочу, чтобы хостинг-провайдер, которому я плачу деньги, требовал от
меня справки, что я не верблюд.
Возможность административного или самоуправного ограничения политических и
экономических свобод недопустимо. И неважно, как оно мотивируется
"интересами трудящихся" (как это было раньше) или "обоснованными
требованиями третьих лиц".
Я не хочу жить в государстве, где осуществление суда Линча над клиентами
вменено в обязанность кому бы то ни было.
Извините за пафосность ;-)
--
С наилучшими пожеланиями,
Станислав Рачинский
------------------------------
Date: Mon, 16 Dec 2002 01:32:17 +0300
From: "Andy Mincov"
Subject: Re: Information Society Provider Liability
> Я не хочу жить в государстве, где осуществление суда Линча над клиентами
> вменено в обязанность кому бы то ни было.
А я не хочу жить в стране с анархией (=абсолютной свободой)
Я не хочу жить в стране где любой урод (nothing personal) сможет уничтожать
мою репутацию и жизнь, ссылаясь на свое право пользоваться своими
оплаченными услугами связи.
Андрей Минков, к.ю.н.
Защита авторских прав
(www.copyrighter.ru)
(andy@)
------------------------------
Date: Mon, 16 Dec 2002 05:24:49 +0300
From: "Alexander Sergeev"
Subject: Re: Information Society Provider Liability
> > Я не хочу жить в государстве, где осуществление суда Линча над клиентами
> > вменено в обязанность кому бы то ни было.
>
> А я не хочу жить в стране с анархией (=абсолютной свободой)
> Я не хочу жить в стране где любой урод (nothing personal) сможет
уничтожать
> мою репутацию и жизнь, ссылаясь на свое право пользоваться своими
> оплаченными услугами связи.
А ведь посмотрите, обе позиции вполне разумны.
Я вот, например, не хочу ни того, ни другого :)
Нельзя ли найти какое-то компромиссное решение?
Вот, например, некоторое время назад проходила информация,
что во Франции собираются запретить анонимное создание
веб-сайтов/форумов. То есть не публиковать имя ты можешь,
но при подаче соответствующего официального запроса имя
автора должно быть раскрыто любому лицу.
Поступаться анонимностью, конечно, тоже неприятно,
но это меньшая беда, чем суд Линча или невозможность
защиты чести и репутации.
Кстати, какой-нибудь закон у нас гарантирует право на анонимность?
Как персональные данные разве что? Насколько там все однозначно?
Допустим в обязанность провайдеру будет вменено в обязанность
немедленно раскрывать паспортные данные и контактные реквизиты
владельца сайта не суду, а любому гражданину, подавшему официальный
запрос в установленном порядке.
И то же самое применить к владельцу форума. (Он ведь тоже в каком-то
смысле провайдер. Арендовал/купил хотинг и трафик и предоставляет
их для передачи и хранения чужих сообщений, пусть и на халяву.)
Если он не может предъявить соответствующих данных на автора
оскорбительного постинга, то он сам несет за него ответственность.
Не хочет нести (и при этом опасается судебной ответственности) -
пусть убирает постинг.
Конечно, возникает вопрос, как бедному владельцу узнать подлинные
реквизиты своих пользователей, если он все-таки хочет стрелку перевести,
а не цензуру наводить? Ответ может дать электронная подпись.
Всего-то что понадобится - чтобы заработали удостоверяющие центры,
и каждый желающий получил бы сертификат на свои паспортные данные,
и с ними регистрировался бы на таких форумах, где владельцы опасаются
нести ответственность за слова участников.
Как вы смотрите на такой компромисс?
Главные ценности сторон сохранены. Жертвуем анонимность.
В результате пострадавший может быстро либо добиться имени
конечного ответственного (и потребовать от него сатисфакции
в установленном порядке) либо добиться прекращения тревожащих
его обстоятельств. И в идеале (в случае автоматизации процесса)
все это за несколько минут/часов.
Конечно, может быть вновь поднят вопрос о том, является ли
распространение информации через веб частным делом или публичным.
Я думаю, что дело это все-таки публичное. Аналогию вижу во введении
категории "доведения до всеобщего сведения" в авторском праве.
Когда ее вводили, то решали ведь именно эту проблему.
Жду конструктивных откликов. Мне в самом деле интересна проблема
и понятны и близки аргументы обеих сторон, и хочется найти решение
этой дилеммы. Мне кажется, это интересная логическая задачка :)
Кстати, на своем варианте я не настаиваю. Просто предлагаю
рассмотреть. А может еще какие-то есть варианты?
Александр Сергеев
http://astronomytoday.da.ru
------------------------------
Date: Mon, 16 Dec 2002 08:43:50 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Доброе утро.
Извините за занудство, но хотелось бы увидеть обоснование Вашей
позиции по затронутым мною вопросам,
а именно
- как интернет-провайдер должен определять правомочность обращения
лица, претендующего на то, что оно представляет интересы
обладателя авторских прав, которые якобы были нарушены вне судебной
процедуры? Должен ли он принимать к исполнению любое обращение
организации, осуществляющей коллективное управление правами, как это
вытекает из Вашего проекта поправок к Закону об авторском праве...
и кто будет возмещать убытки правообладателей в том случае,
если это обращение неправомерно? (В конкретном примере, который я
приводил - что, Вы серьёзно предлагаете, чтобы полупрофессиональная
рок-группа из Москвы судилась с международной организацией,
дисцлоцированной в Лондоне, после того, как её сайт выключили бы по
письму, отправленному автоматическим роботом, неадекватно обработавшем
MP3-файл?)
- считаете ли Вы, что любое сообщение, которое может быть кем-либо
сочтено "оскорблением женщин", должно на этом основании удаляться
провайдером по письму, того, кто это сочтёт? Принимаете ли Вы во
внимание, что понятия об оскорбительности могут быть существенно
разные для представителей разных культур и религиозных традиций?
Не хочу обидеть, но и Вы и Андрей Минков почему-то уводите разговор
в сторону каждый раз, как начинаются конкретные примеры ситуаций.
Мне кажется, что это свидетельствует о слабой обоснованности Ваших
позиций.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Mon, 16 Dec 2002 08:47:01 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Hello Andy,
Monday, December 16, 2002, 1:03:24 AM, you wrote:
>> Оператор связи не может быть цензором - никогда, ни в какой ситуации, ни
AM> при
>> каких обстоятельствах! Иначе очень быстро получится полноценное воплощение
>> Оруэлла.
AM> Совсем недавно пытались (не Вы) сделать неприкасаемыми журналюг, которые
AM> могут клеветать, нести бред и полную чушь, не платить налоги, не отдавать
AM> долги и все выпады в свой адрес называют "гонениями на свободу слова".
AM> Теперь (уже Вы) хотите сделать неприкасаемыми хостеров (операторов связи)...
AM> Замечательно выходит...
Есть такое (вполне обоснованное) мнение, что за нарушение прав должен
отвечать тот, кто их реально нарушил, а не тот, до кого ближе
дотянуться.
Ваша логика напоминает мне логику бандитов, которые в отсутствие
кредитора приходят выбивать долги к его соседям и контрагентам, со
словами "ну ты мужик, типа, потом его найдёшь, взыщешь, а нам наши
деньги сейчас вернуть надо".
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Mon, 16 Dec 2002 08:50:43 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Hello Andy,
Monday, December 16, 2002, 1:32:17 AM, you wrote:
>> Я не хочу жить в государстве, где осуществление суда Линча над клиентами
>> вменено в обязанность кому бы то ни было.
AM> А я не хочу жить в стране с анархией (=абсолютной свободой)
AM> Я не хочу жить в стране где любой урод (nothing personal) сможет уничтожать
AM> мою репутацию и жизнь, ссылаясь на свое право пользоваться своими
AM> оплаченными услугами связи.
Встречное утверждение. Я не хочу жить в стране, где любой урод
(nothing personal) может уничтожить мой бизнес и репутацию, заплатив
адвокату денег больше, чем могу это сделать я сам.
Существует достаточно открытая с юридической точки зрения дорога для
разрешения конфликтов которые мы тут обсуждаем. С какой радости
Вы считаете необходимым поставить владельцев интернет-ресурсов в выделенное и
менее выгодное чем все прочие положение - я не понимаю.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Mon, 16 Dec 2002 09:14:12 +0300
From: Alexey Epifanov
Subject: Re: Information Society Provider Liability
Приветствую Вас, Serge, а также всех участников Netlaws Mail List.
16 декабря 2002 г. в 08:50:43 GMT +0300 (что у меня соответствует 8:50)
Serge Nesterovitch написал свои соображения по поводу "[netlaws]
Information Society Provider Liability":
SN> Встречное утверждение. Я не хочу жить в стране, где любой урод
SN> (nothing personal) может уничтожить мой бизнес и репутацию, заплатив
SN> адвокату денег больше, чем могу это сделать я сам.
Ну, у нас слава богу не Америка, и гонорар адвоката по моим наблюдениям
не есть решающий фактор в борьбе за нарушенное право :)
SN> Существует достаточно открытая с юридической точки зрения дорога для
SN> разрешения конфликтов которые мы тут обсуждаем. С какой радости
SN> Вы считаете необходимым поставить владельцев интернет-ресурсов в выделенное и
SN> менее выгодное чем все прочие положение - я не понимаю.
Более того, схожая позиция закреплена в статьях 45-47 Конституции
--
С уважением, Епифанов Алексей alex_pesonal@
Юрисконсульт ЗАО "ИКСТМ" http://www.ilca.ru
Personal Project http://law.ilca.ru
ICQ UIN (Time Off) 143962148
....
Concordia victoriam gignit
------------------------------
Date: Mon, 16 Dec 2002 09:17:37 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Hello Alexander,
Monday, December 16, 2002, 5:24:49 AM, you wrote:
>> > Я не хочу жить в государстве, где осуществление суда Линча над клиентами
>> > вменено в обязанность кому бы то ни было.
>>
>> А я не хочу жить в стране с анархией (=абсолютной свободой)
>> Я не хочу жить в стране где любой урод (nothing personal) сможет
AS> уничтожать
>> мою репутацию и жизнь, ссылаясь на свое право пользоваться своими
>> оплаченными услугами связи.
AS> А ведь посмотрите, обе позиции вполне разумны.
AS> Я вот, например, не хочу ни того, ни другого :)
AS> Нельзя ли найти какое-то компромиссное решение?
AS> Вот, например, некоторое время назад проходила информация,
AS> что во Франции собираются запретить анонимное создание
AS> веб-сайтов/форумов. То есть не публиковать имя ты можешь,
AS> но при подаче соответствующего официального запроса имя
AS> автора должно быть раскрыто любому лицу.
Идиотов, не понимающих, что в компьютерной сети можно подделать
абсолютно любую информацию хватает везде.
Принятие подобного закона привело бы к волне злоупотреблений и
подстав. Или напрочь ликвидировало бы 7/8 интернета - потому как
болшинство авторов страничек отнюдь не жаждут переться в другой город
(страну) с паспортом для того, чтобы удостоверить свою личность, а все другие
способы ненадёжны.
AS> Поступаться анонимностью, конечно, тоже неприятно,
AS> но это меньшая беда, чем суд Линча или невозможность
AS> защиты чести и репутации.
Это бОльшая беда. По той причине, что для защиты чести и репутации
существуют вполне себе работающие механизмы.
Я уже писал о том, что для веб-сайтов и форумов, которые
открываются анонимно вопрос де-факто вообще не стоит -
если не верите, можете поставить эксперимент. Сами сделайте порочущую
себя страничку на каком угодно бесплатном хостинге от чужого имени,
а потом шлите письмо владельцу хостинга с претензиями.
Такие страницы закрываются без проблем в соответствии с принятыми
полиси.
Вся дискуссия имеет смысл только для того случая, когда владелец
ресурса известен и может быть подвергнут юридическому преследованию и
сводится она к тому, что некоторые из присутствующих вместо того,
чтобы действовать стандартным путём хотят перенести функции по
энфорсменту с государства на оператора связи. Просто, потому что они
считают, что им (их клиентам) так быстрее и удобнее.
AS> Кстати, какой-нибудь закон у нас гарантирует право на анонимность?
AS> Как персональные данные разве что? Насколько там все однозначно?
Достаточно однозначно, если вспомнить ещё о понятии коммерческой
тайны.
AS> Допустим в обязанность провайдеру будет вменено в обязанность
AS> немедленно раскрывать паспортные данные и контактные реквизиты
AS> владельца сайта не суду, а любому гражданину, подавшему официальный
AS> запрос в установленном порядке.
А с какой радости? Вы вообще реально представляете, чем это чревато?
Мне довелось наблюдать несколько компаний по травле отдельных людей
'сетевой общественностью', которой что-то не понравилось. Представьте
себе, что кто-то предал гласности Ваши персональные координаты и Вам
на протяжении года-двух звонят домой анонимные уроды и угрожают Вам и
Вашим близким. Никому бы в такой ситуации не пожелал бы оказаться.
AS> И то же самое применить к владельцу форума. (Он ведь тоже в каком-то
AS> смысле провайдер. Арендовал/купил хотинг и трафик и предоставляет
AS> их для передачи и хранения чужих сообщений, пусть и на халяву.)
AS> Если он не может предъявить соответствующих данных на автора
AS> оскорбительного постинга, то он сам несет за него ответственность.
AS> Не хочет нести (и при этом опасается судебной ответственности) -
AS> пусть убирает постинг.
AS> Конечно, возникает вопрос, как бедному владельцу узнать подлинные
AS> реквизиты своих пользователей, если он все-таки хочет стрелку перевести,
AS> а не цензуру наводить? Ответ может дать электронная подпись.
AS> Всего-то что понадобится - чтобы заработали удостоверяющие центры,
AS> и каждый желающий получил бы сертификат на свои паспортные данные,
AS> и с ними регистрировался бы на таких форумах, где владельцы опасаются
AS> нести ответственность за слова участников.
Электронная подпись сама по себе ничего не гарантирует, по той
причине, что не менее 20% компьютеров конечных пользователей бывали
заражены вирусами и троянскими конями. Потерять такой ключ - нефиг
делать, и не заметишь даже, а программно-аппаратная реализация стоит
достаточно серьёзных денег.
AS> Как вы смотрите на такой компромисс?
Я на него смотрю как на попытку решать проблем отдельных лиц за чужой счёт.
Более того, этот "компромисс" совершенно не учитывает того факта,
что публикация "оскорбительных сообщений" и создание "тревожащих
обстоятельств" могут являться абсолютно правомерными.
Всё, к чему сводится Ваш проект -
это автоматизация подавления свободы слова.
AS> Главные ценности сторон сохранены. Жертвуем анонимность.
Я не вижу тут никакого сохранения "главных ценностей"
предлагаемая Вами система поднимет стоимость пользования интернетом на
порядок, если не больше, а проблемы не решит.
AS> В результате пострадавший может быстро либо добиться имени
AS> конечного ответственного
Это и так возможно в большинстве случаев.
AS> Кстати, на своем варианте я не настаиваю. Просто предлагаю
AS> рассмотреть. А может еще какие-то есть варианты?
Есть вариант, основанный на приводившейся мною в одном из писем
процедуре - а именно - если кто-то недовольный не может решить вопрос
путём переписки по e-mail и не может установить владельца ресурса
- пусть пишет официальное письмо провайдеру, после чего либо провайдер
раскрывает владельца ресурса по договорённости с ним, либо это
делается судебном порядке.
Практика показывает, что 95-97% конфликтов решаются на основании
электронной переписки, и я не вижу смысла из-за оставшихся 5-3%
ставить в позу полурыбы всё интернет сообщество. Для этих малых
процентов есть установленные законом процедуры решения конфликта и они
вполне достаточны и эффективны, тем более что удаление информации
владельцем форума почти в любом случае всё равно служит актом
символическим, а не решает проблему по сути - любой компромат
копируется заинтересованными лицам практически сразу по факту
публикации, именно по той причине, что модерирование форумов как
правило довольно эффективно и обычно такая информация удаляется.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Mon, 16 Dec 2002 09:26:51 +0300
From: Alexey Epifanov
Subject: Re: Information Society Provider Liability
Приветствую Вас, Serge, а также всех участников Netlaws Mail List.
16 декабря 2002 г. в 09:17:37 GMT +0300 (что у меня соответствует 9:17)
Serge Nesterovitch написал свои соображения по поводу "[netlaws]
Information Society Provider Liability":
AS>> Кстати, какой-нибудь закон у нас гарантирует право на анонимность?
AS>> Как персональные данные разве что? Насколько там все однозначно?
SN> Достаточно однозначно, если вспомнить ещё о понятии коммерческой
SN> тайны.
Для граждан это еще и п. 1 ст. 23 Конституции
Каждый имеет право на неприкосновенность частной жизни, личную и
семейную тайну, защиту своей чести и доброго имени.
--
С уважением, Епифанов Алексей alex_pesonal@
Юрисконсульт ЗАО "ИКСТМ" http://www.ilca.ru
Personal Project http://law.ilca.ru
ICQ UIN (Time Off) 143962148
....
Edimus, ut vivamus; nоn vivimus, ut edamus
------------------------------
Date: Mon, 16 Dec 2002 12:09:54 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: Information Society Provider Liability
Hello, Serge!
From: "Serge Nesterovitch"
> подстав. Или напрочь ликвидировало бы 7/8 интернета - потому как
> болшинство авторов страничек отнюдь не жаждут переться в другой город
> (страну) с паспортом для того, чтобы удостоверить свою личность, а все
другие
> способы ненадёжны.
Не поддерживая идею тотального внедрения ЭЦП в инете в принципе, все-таки
хочу заметить, что при развернутой структуре УЦ переться в другой город не
придется. Получил сертификат ключа подписи в ближайшем УЦ - и можно
достаточно надежно аутентифицироватьтся в электроном виде; проверка возможна
по цепочкам кроссертификации.
Что до надежности предъявления паспорта - сэр эксперт-криминалист по
документам? ;) Народ фирмы по поддельным документам открывает, а уж при
заведении форума паспорт точно никто на экспертизу не потащит...
Privacy&Anonymity vs Security - проблема нерешаемая в принципе. Или одно,
или другое. Покуда ip-пакеты анонимны (ip-адрес - не в счет, нарисовать
можно что угодно), можно почти безнаказанно устраивать DoS и DDoS. Введем
обязательную подпись пакетов на уровне протокола? Если да, от атак
избавимся, но получм кошмар почти по Оруэллу... Если нет - безмозглые
малолетки так и будут ронять сайты, но свобода личности будет соблюдена...
--
regards,
Vladislav V. Myasnyankin
Chief Information Security Officer
Bank "Severnaya Kazna".
www.kazna.ru / www.internetbank.ru
mvv@
phone (343-2) 59-27-32, 059
------------------------------
Date: Mon, 16 Dec 2002 10:28:49 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Приветствую.
>> подстав. Или напрочь ликвидировало бы 7/8 интернета - потому как
>> болшинство авторов страничек отнюдь не жаждут переться в другой город
>> (страну) с паспортом для того, чтобы удостоверить свою личность, а все
МВВ> другие
>> способы ненадёжны.
МВВ> Не поддерживая идею тотального внедрения ЭЦП в инете в принципе, все-таки
МВВ> хочу заметить, что при развернутой структуре УЦ переться в другой город не
МВВ> придется. Получил сертификат ключа подписи в ближайшем УЦ - и можно
МВВ> достаточно надежно аутентифицироватьтся в электроном виде; проверка возможна
МВВ> по цепочкам кроссертификации.
Как Вы будете бороться с уворовыванием ключей?
Имеющееся системное ПО для персональных компьютеров не обеспечивает
даже минимально-приемлемого уровня безопасности. Использование
сертифицированных (дорогих) средств ЭЦП
имеет экономический смысл только при деловых операциях, но не при
частном общении. Более того, в соответствии с требованиями ФАПСИ
сертификации в качестве средства защиты информации
подлежат _экземпляры_ аппаратно-программных комплексов,
т.е. каждый конкретный компьютер с установленным на него софтом надо
тащить к ним на проверку. Это требование разумно - потенциальная
возможность внедрения программных 'закладок' обессмысливает
использование чисто программных решений для ЭЦП в тех случаях, когда
за сообщения, подписанные такой подписью есть потенциальная
возможность ответить юридически.
Я уж молчу о том, что отечественный стандарт ЭЦП не совместим со
стандартами принятыми в иных государствах. И о том, что
в каждом районном Усть-Урюпинске Вы удостоверяющей центр всё равно не
развернёте, потому что это дорогостоящее мероприятие. Я бизнес-план
считал, это если всё по уму делать - несколько сотен тысяч долларов по
минимуму. Ну можно снизить до где-то 150000-180000 за счёт массовости.
Но вряд ли ниже - там же помещение надо оборудовать по ГОСТу, охрана
всякая и т.д.
Оплачивать развернутую инфраструктуру таких центров - конечному
пользователю интернет. И ради чего?
МВВ> Что до надежности предъявления паспорта - сэр эксперт-криминалист по
МВВ> документам? ;) Народ фирмы по поддельным документам открывает, а уж при
МВВ> заведении форума паспорт точно никто на экспертизу не потащит...
Вы только усиливаете мою позицию по данному вопросу.
МВВ> Privacy&Anonymity vs Security - проблема нерешаемая в принципе. Или одно,
МВВ> или другое. Покуда ip-пакеты анонимны (ip-адрес - не в счет, нарисовать
МВВ> можно что угодно), можно почти безнаказанно устраивать DoS и DDoS. Введем
МВВ> обязательную подпись пакетов на уровне протокола? Если да, от атак
МВВ> избавимся, но получм кошмар почти по Оруэллу... Если нет - безмозглые
МВВ> малолетки так и будут ронять сайты, но свобода личности будет соблюдена...
Есть технические средства решения этой проблемы. Они сейчас постепенно
внедряются и за 3-5 лет думаю проблема DDoS будет окончательно решена.
Может быть и быстрее - просто я пессимист в таких вопросах.
Нераспределённая DoS атака уже и сейчас достаточно эффективно гасится,
а автор её вычисляется и получает по рукам.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Mon, 16 Dec 2002 10:32:07 +0300
From: Alexey Epifanov
Subject: Re: Information Society Provider Liability
Приветствую Вас, Мяснянкин, а также всех участников Netlaws Mail List.
16 декабря 2002 г. в 12:09:54 GMT +0500 (что у меня соответствует 10:09)
"Мяснянкин Владислав Владимирович" написал свои соображения по поводу
"[netlaws] Information Society Provider Liability":
МВВ> Privacy&Anonymity vs Security - проблема нерешаемая в принципе. Или одно,
МВВ> или другое. Покуда ip-пакеты анонимны (ip-адрес - не в счет, нарисовать
МВВ> можно что угодно), можно почти безнаказанно устраивать DoS и DDoS. Введем
МВВ> обязательную подпись пакетов на уровне протокола? Если да, от атак
МВВ> избавимся, но получм кошмар почти по Оруэллу... Если нет - безмозглые
МВВ> малолетки так и будут ронять сайты, но свобода личности будет соблюдена...
А улучшать ПО, под которым работают роняемые безмозглыми малолетками
сайты, как я понимаю, вообще не вариант?
--
С уважением, Епифанов Алексей alex_pesonal@
Юрисконсульт ЗАО "ИКСТМ" http://www.ilca.ru
Personal Project http://law.ilca.ru
ICQ UIN (Time Off) 143962148
....
Audaces fortuna juvat
------------------------------
Date: Mon, 16 Dec 2002 12:51:59 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: Re: Information Society Provider Liability
hello,
From: "Alexey Epifanov"
> МВВ> избавимся, но получм кошмар почти по Оруэллу... Если нет - безмозглые
> МВВ> малолетки так и будут ронять сайты, но свобода личности будет
соблюдена...
>
> А улучшать ПО, под которым работают роняемые безмозглыми малолетками
> сайты, как я понимаю, вообще не вариант?
Алексей, Вы программист? Судя по приведеннной фразе - нет.
ПО без ошибок не бывает в принципе (если это не "Hello, world" в 3 строчки).
Это первый момент. Второй: даже если софт реализован без ошибок (всякие там
переполнения и т.п.) всегда можно создать условия такие, что ресурс
перестанет работать как надо (не будет отвечатьт на запросы) вследствие
дизайна протокола. Если положено соблюдать определенный таймаут после
установления/разрыва соединения, то ОС (и ее ip-стек) будут это делать.
Причем, есть варианты, когда злоумышленник на диалапе сможет поставить раком
сервер на гигабитном канале - у последнего будет CPU usage 100%.
Отвечая на Ваш вопрос прямо: этот вариант задействуется постоянно. Кто-то
платит деньги Биллу Гейтсу, пытаясь потом получить чего-то от техсаппорта,
кто-то использует open-source, следит за сообщениями о багах или сам изучает
исходники. Но все это не дает гарантии, что кто-то не найдет дыру и не будет
ее использовать злонамеренно, не делясь с общественностью.
--
regards,
Vladislav V. Myasnyankin
Chief Information Security Officer
Bank "Severnaya Kazna".
www.kazna.ru / www.internetbank.ru
mvv@
phone (343-2) 59-27-32, 059
------------------------------
Date: Mon, 16 Dec 2002 10:55:47 +0300
From: Serge Nesterovitch
Subject: =?koi8-r?B?y9PUwdTJLi4u?=
Пара технических замечаний.
МВВ> Privacy&Anonymity vs Security - проблема нерешаемая в принципе. Или одно,
МВВ> или другое. Покуда ip-пакеты анонимны (ip-адрес - не в счет, нарисовать
МВВ> можно что угодно), можно почти безнаказанно устраивать DoS и DDoS. Введем
МВВ> обязательную подпись пакетов на уровне протокола? Если да, от атак
МВВ> избавимся, но получм кошмар почти по Оруэллу... Если нет - безмозглые
МВВ> малолетки так и будут ронять сайты, но свобода личности будет соблюдена...
1) DDoS атаки как раз и устраиваются в 90% случаев путём
распространения вирусов, которые атакуют с заражённой машины
определённый адрес. Подписыание пакетов здесь ничего не изменит - они
(если бы это было технически возможно) подписывались бы ключём
человека, чей компьютер заражён.
2) Эффективное подписывание пакетов на уровне протокола невозможно
в силу того, что для генерации невзламываемой ЭЦП необходимо довольно
большое время, а если снизить длину ключа, чтобы это время стало
приемлемым (не возникали постоянные тайм-ауты) то такой короткий
секретный ключ довольно легко восстановить по подписанным пакетам и далее
генерировать их от чужого имени. Такой механизм подписывания пакетов
применён в Novell Netware в протоколе IPX/SPX, (весьма похожем на
TCP/IP) но он носит довольно вспомогательный характер и его
нестойкость была продемонстрирована.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Mon, 16 Dec 2002 11:06:26 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
>> МВВ> избавимся, но получм кошмар почти по Оруэллу... Если нет - безмозглые
>> МВВ> малолетки так и будут ронять сайты, но свобода личности будет
МВВ> соблюдена...
>>
>> А улучшать ПО, под которым работают роняемые безмозглыми малолетками
>> сайты, как я понимаю, вообще не вариант?
МВВ> Алексей, Вы программист? Судя по приведеннной фразе - нет.
МВВ> ПО без ошибок не бывает в принципе (если это не "Hello, world" в 3 строчки).
Занудно замечу, что существуют автоматической технологии генерации 100%
соответствующего спецификации, заданной в ТЗ. Уровень ошибок в софте,
которые они обеспечивают, можно с известной натяжкой считать нулевым.
Другое дело, что индустрии не выгодно их внедрение, пока есть
возможность отмазываться пресловутым принципом AS IS. А потом
межпланетные станции на Марс падают. Возможно, если уж
обратиться к тематике данного списка, стоило бы законодательно
стимулировать их внедрение, поборовшись за прекращения обмана
потребителей.
МВВ> Причем, есть варианты, когда злоумышленник на диалапе сможет поставить раком
МВВ> сервер на гигабитном канале - у последнего будет CPU usage 100%.
Эти крайние варианты, скорее относятся всё же к некорректной реализации
протокола в ПО.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Mon, 16 Dec 2002 11:10:49 +0300
From: Victor Naumov
Subject:
"Andrew A. Mezhutkov"
опубликовать в связи с невозможностью направления
непосредственного письма в список.
В.Н.
Hello Serge,
Monday, December 16, 2002, 11:17:37 AM, you wrote:
а можно и мне 2 технических копеечки положить в дискуссию?
AS>> Вот, например, некоторое время назад проходила информация,
AS>> что во Франции собираются запретить анонимное создание
AS>> веб-сайтов/форумов. То есть не публиковать имя ты можешь,
AS>> но при подаче соответствующего официального запроса имя
AS>> автора должно быть раскрыто любому лицу.
SN> Идиотов, не понимающих, что в компьютерной сети можно подделать
SN> абсолютно любую информацию хватает везде.
резковато сказано...
ну, скажем так, данное заявление не является абсолютно верным.
для парирования подобных вещей и придуманы специальные протоколы.
любопытно, что они реально работают, в противном случае никто бы не
заморачивался подобным времяпрепровождением. примерам несть числа.
дабы не быть голословным - скажите у вас пластиковая банковская карта
есть? и с вашего счета "подделав абсолютно любую информацию" по вашим
данным и трансакцию с банкомата денег еще не сняли "под ноль"?
SN> Принятие подобного закона привело бы к волне злоупотреблений и
SN> подстав. Или напрочь ликвидировало бы 7/8 интернета - потому как
SN> болшинство авторов страничек отнюдь не жаждут переться в другой город
SN> (страну) с паспортом для того, чтобы удостоверить свою личность, а все другие
SN> способы ненадёжны.
достаточно допереться до ближайшего удостоверяющего центра. это
разовое действие и не является столь уж напряжным.
получаете паспорт вы тоже не по почте.
....
AS>> Допустим в обязанность провайдеру будет вменено в обязанность
AS>> немедленно раскрывать паспортные данные и контактные реквизиты
AS>> владельца сайта не суду, а любому гражданину, подавшему официальный
AS>> запрос в установленном порядке.
SN> А с какой радости? Вы вообще реально представляете, чем это чревато?
SN> Мне довелось наблюдать несколько компаний по травле отдельных людей
SN> 'сетевой общественностью', которой что-то не понравилось. Представьте
SN> себе, что кто-то предал гласности Ваши персональные координаты и Вам
SN> на протяжении года-двух звонят домой анонимные уроды и угрожают Вам и
SN> Вашим близким. Никому бы в такой ситуации не пожелал бы оказаться.
в данном случае позиция александра мне ближе. подав заявку в
установленной форме, имярек тем самым говорит, что именно он получил
персональные данные тов сидорова, скрывающегося за ником "петров".
следуя такому регламенту _можно_ вычислить того самого "анонимного урода",
спровоцировавшего звонки.
AS>> Конечно, возникает вопрос, как бедному владельцу узнать подлинные
AS>> реквизиты своих пользователей, если он все-таки хочет стрелку перевести,
AS>> а не цензуру наводить? Ответ может дать электронная подпись.
AS>> Всего-то что понадобится - чтобы заработали удостоверяющие центры,
AS>> и каждый желающий получил бы сертификат на свои паспортные данные,
AS>> и с ними регистрировался бы на таких форумах, где владельцы опасаются
AS>> нести ответственность за слова участников.
SN> Электронная подпись сама по себе ничего не гарантирует, по той
SN> причине, что не менее 20% компьютеров конечных пользователей бывали
SN> заражены вирусами и троянскими конями. Потерять такой ключ - нефиг
SN> делать, и не заметишь даже, а программно-аппаратная реализация стоит
SN> достаточно серьёзных денег.
паспорт тоже можно потерять. или его могут даже спереть. это не довод.
при утере паспорта (компрометации ключа) существует определенный
регламент - сиречь протокол, следуя которому, вы снимаете с себя
ответственность за то, что им сможет воспользоваться злоумышленник.
ну, а если кто-то протоколу не следует, то он сам себе злобный буратино.
8-)
....
AS>> Главные ценности сторон сохранены. Жертвуем анонимность.
забавно, что в ряде случаев не жертвуем и ей. в законе об ЭЦП русским
по белому сказано, что вы можете в сертификате указать псевдоним.
порядок выдачи вашего настоящего имени сейчас, увы, не определен, но
полагаю, что либо по решению суда, либо с подачи самого хозяина
сертификата... т.е. хоть протокол не описан, но вряд ли по "анонимному
запросу" УЦ тут же вас и спалит 8-))
....
рассуждения уже вышли за рамки "модерирования форумов", но вопрос
очень интересный. и на мой взгляд об этом придется задуматься в самом
ближайшем будущем.
извините за внимание.
--
Best regards,
Andrew mailto:andrew@
---
http://www.russianlaw.net
nau@
ICQ UIN 1383430 (only working hours)
St.Petersburg Institute for Informatics RAS
PO BOX 443, 199034, St.Petersburg, Russia
---
Use extra e-mail nau@
in error cases with nau@
------------------------------
Date: Mon, 16 Dec 2002 13:25:35 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: Re: Information Society Provider Liability
hello,
From: "Serge Nesterovitch"
> МВВ> придется. Получил сертификат ключа подписи в ближайшем УЦ - и можно
> МВВ> достаточно надежно аутентифицироватьтся в электроном виде; проверка
возможна
> МВВ> по цепочкам кроссертификации.
> Как Вы будете бороться с уворовыванием ключей?
Нехорошо отвечать вопросом на вопрос, но "А как Вы будете бороться с
подделкой документов?" ;)
Да, теоретически ключ можно утащить. Но много ли Вы можете привести
прецедентов? А ведь народ с ЭЦП работает очень активно - в банки мало кто
таскает бумажные платежки, все в эл. виде, с ЭЦП.
Если юзер не полный дегенерат, ему объяснена вся важность сохранения ключа,
то уровень безопасности получается приемлемый.
> Имеющееся системное ПО для персональных компьютеров не обеспечивает
> даже минимально-приемлемого уровня безопасности. Использование
Да ну? Вот жаль, что я выделенкой не обзавелся ;) А то сказал бы Вам ip
своего домашнего компьютера и предложил вытащить оттуда хотя бы один файлик,
не говоря уже об установке клавиатурного шпиона для перехвата пароля ;) А
дома у меня стоит самая обычная ОС, а не военная ;)
> частном общении. Более того, в соответствии с требованиями ФАПСИ
> сертификации в качестве средства защиты информации
> подлежат _экземпляры_ аппаратно-программных комплексов,
> т.е. каждый конкретный компьютер с установленным на него софтом надо
Сергей, а можно привести ссылку на документ, из которого Вы этот почерпнули?
Все сертификаты, которые я видел, выдавались на "криптографическое средство"
и были действительны при выполнении ряда требований (КС1, КС2 и т.п.), в
которых отсутствовал пункт о спецпроверке аппаратуры.
Более того, если человек использует ЭЦП в рамках какой-то информационной
системы, то лицензии ФАПСИ достаточно иметь только организатору системы, а
не каждому пользователю.
> тащить к ним на проверку. Это требование разумно - потенциальная
> возможность внедрения программных 'закладок' обессмысливает
> использование чисто программных решений для ЭЦП в тех случаях, когда
Потенциально можно на гололеде упасть и убиться. Но люди ходят по улицам,
ибо абсолютной безопасности не существует.
Кстати, Вы в курсе, что существуют решения типа JavaButton или смар-карт,
которые позволяют ставить ЭЦП, не выводя секретный ключ в "недоверенную
среду"? (справедливости ради: все равно остается возможность подсунуть на
подпись фальшивые данные, но и защищаемый Вами бумажный документ - не
абсолютен в плане защиты).
> за сообщения, подписанные такой подписью есть потенциальная
> возможность ответить юридически.
Угу. Системы клиент-банк не пример? И ведь пользуются...
> Я уж молчу о том, что отечественный стандарт ЭЦП не совместим со
> стандартами принятыми в иных государствах. И о том, что
И что с того? А иностранные стандарты несовместимы с нашим ;) Будем мерятся,
у кого площадь поверхности суши больше? ;)
Консенсус в этом вопросе - проблема чисто техническая. Или придем к
общемировому стандарту, или остановимся на одном из распространенных (edsa
или наш ГОСТ Р34.10-2001)
> в каждом районном Усть-Урюпинске Вы удостоверяющей центр всё равно не
Его и не надо на каждом хуторе разворачивать. УЦ (CA в буржуйской
терминологии) на каждом углу не нужны, достаточно развитой должна быть сеть
РЦ (RA - регистрационных центров). В общем, если грамотно подойти к вопросу,
то можнно все это организовать достаточно недорого.
> развернёте, потому что это дорогостоящее мероприятие. Я бизнес-план
> считал, это если всё по уму делать - несколько сотен тысяч долларов по
> минимуму. Ну можно снизить до где-то 150000-180000 за счёт массовости.
> Но вряд ли ниже - там же помещение надо оборудовать по ГОСТу, охрана
> всякая и т.д.
Я сейчас занимаюсь УЦ. Поверьте, сумма гораздо ниже ;) И, кстати, ГОСТа на
оборудование УЦ не существует.
> Оплачивать развернутую инфраструктуру таких центров - конечному
> пользователю интернет. И ради чего?
Уф. А ради чего я должен оплачивать инфраструктуру паспортных столов?
Как Вы совершенно справедливо заметили, при достаточном уровне
стандартизации и массовости этого дела, сертификат ключа ЭЦП (aka -
электронный паспорт) будет не дороже (а скорее даже намного дешевле)
традиционного документа.
Единственное, что напрягает - в родной стране все делается не по уму и любую
идею доводят до абсурда. Вспомним проект РИК.
> Есть технические средства решения этой проблемы. Они сейчас постепенно
> внедряются и за 3-5 лет думаю проблема DDoS будет окончательно решена.
> Может быть и быстрее - просто я пессимист в таких вопросах.
Ой. Очень интересно. Может быть, поделитесь информацией? Насколько я понимаю
суть проблемы, принципиально бороться с DDoS можно только отключением от
канала.
> Нераспределённая DoS атака уже и сейчас достаточно эффективно гасится,
> а автор её вычисляется и получает по рукам.
Еще интереснее.
Пример: я формирую пакет с Вашим адресом в качестве адреса источника и
отправляю его на некий адрес, который ответит на него пакетом, скажем, раз в
20 большего размера (ответ, очевидно, прилетит Вам). Как будете бороться и
вычислять? Или у Вас на всех промежуточных узлах интернета свои люди и
включено протоколирование? К сожалению, рекомендации по настройке
маршрутизаторов не выпускать пакет из сети, если его адрес источника ей не
принадлежит остаются лишь рекомендациями.
Вобщем, надежного средства против грамотно построенной DoS-атаки пока не
существует..
--
regards,
Vladislav V. Myasnyankin
Chief Information Security Officer
Bank "Severnaya Kazna".
www.kazna.ru / www.internetbank.ru
mvv@
phone (343-2) 59-27-32, 059
------------------------------
Date: Mon, 16 Dec 2002 13:40:50 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: =?koi8-r?B?IMvT1MHUyS4uLg==?=
From: "Serge Nesterovitch"
> 1) DDoS атаки как раз и устраиваются в 90% случаев путём
Не обязательно. Гораздо эффективнее использовать "рефлектор". Кстати, к
этому все и идет...
> 2) Эффективное подписывание пакетов на уровне протокола невозможно
> в силу того, что для генерации невзламываемой ЭЦП необходимо довольно
> большое время, а если снизить длину ключа, чтобы это время стало
> приемлемым (не возникали постоянные тайм-ауты) то такой короткий
> секретный ключ довольно легко восстановить по подписанным пакетам и далее
Перевод алгоритма Эль-Гамаля в пространство эллиптических кривых позволил
_в_разы_ уменьшить длину ключа при сохранении той же стойкости.
> генерировать их от чужого имени. Такой механизм подписывания пакетов
> применён в Novell Netware в протоколе IPX/SPX, (весьма похожем на
Занудно замечу, что все-таки не ipx, а ncp - netware core protocol.
> TCP/IP) но он носит довольно вспомогательный характер и его
> нестойкость была продемонстрирована.
Естественно. Ведь механизм ncp packet signature, введенный Novell после
"голландской атаки", использует симметричные алгоритмы и совсем уж
неприлично маленькие размеры подписи (32 бита). Кривой реализацией можно
убить любую идею...
--
regards,
Vladislav V. Myasnyankin
Chief Information Security Officer
Bank "Severnaya Kazna".
www.kazna.ru / www.internetbank.ru
mvv@
phone (343-2) 59-27-32, 059
------------------------------
Date: Mon, 16 Dec 2002 11:49:20 +0300
From: Vasiliy Tomilin
Subject: =?koi8-r?B?W25ldGxhd3NdIEluZm9ybWF0aW9uIFNvY2lldHkgUHJvdmlkZXIgTGlhYmls?= =?koi8-r?B?aXR5OiDv0tXczMwgzMk/?=
Hello Влад,
Monday, December 16, 2002, 10:09:54 AM, you wrote:
потому как я недавно плотно занимался "вопросами аутентификации в
распределенной сети без использования криптографических методов"
хотел бы напомнить всем про общий подход в виде вероятностной пометки
IP-пакетов на промежуточных устройствах - силами, например, тех же
провайдеров.
Тогда в случае DoS группы flooding - т.е. большого и интенсивного
трафика - при грамотном размещении узлов пометки пакетов и постоянных
в разумных пределах маршрутах передачи информации атакующий сам
протопчет до себя тропинку.
А за анонимность и т.п. - а видеокамера Вас в супермаркете пугает?
Меня нет, хоть я и параноик ;-) ......
--
С наилучшими пожеланиями,
Василий Томилин mailto:tomilin@
------------------------------
Date: Mon, 16 Dec 2002 11:54:20 +0300
From: Victor Naumov
Subject: Re: Information Society Provider Liability
Добрый день!
Monday, December 16, 2002, 8:43:50 AM, Serge Nesterovitch wrote:
SN> - как интернет-провайдер должен определять правомочность обращения
SN> лица, претендующего на то, что оно представляет интересы
SN> обладателя авторских прав, которые якобы были нарушены вне судебной
SN> процедуры? Должен ли он принимать к исполнению любое обращение
SN> организации, осуществляющей коллективное управление правами, как это
SN> вытекает из Вашего проекта поправок к Закону об авторском праве...
SN> и кто будет возмещать убытки правообладателей в том случае,
SN> если это обращение неправомерно? (В конкретном примере, который я
SN> приводил - что, Вы серьёзно предлагаете, чтобы полупрофессиональная
SN> рок-группа из Москвы судилась с международной организацией,
SN> дисцлоцированной в Лондоне, после того, как её сайт выключили бы по
SN> письму, отправленному автоматическим роботом, неадекватно обработавшем
SN> MP3-файл?)
Есть такое слово "обоснованный". Ест., что каждый воспринимает его
по-своему (даже суды). Но если у кого-либо перед собой пустой
лист бумаги с единственным словом "убери", то, обычно, у
здравомыслящего человека сомнения о том, что делать, не возникают.
В других, более распространенных ситуациях, жалобщик довольно подробно
описывает, кто он и почему что-либо нарушает его права и абсолютно не
возражает, когда у него хотят получить дополнительные материалы.
У кого хватит сил написать и желания рисковать, может принимать
электронные сообщения и принимать из на веру. Для других существует
обычная почта, в рамках которой на обращении ставится обычная подпись
(и печать).
"Мой" законопроект я сейчас комментировать не буду, не обессудьте - я
непосредственно его пропагандой не занимался. Он
2 месяца назад принят ГД в первом чтении, по нему существует изрядно
теоретических разъяснений, пояснительных записок, etc.
SN> - считаете ли Вы, что любое сообщение, которое может быть кем-либо
SN> сочтено "оскорблением женщин", должно на этом основании удаляться
SN> провайдером по письму, того, кто это сочтёт? Принимаете ли Вы во
SN> внимание, что понятия об оскорбительности могут быть существенно
SN> разные для представителей разных культур и религиозных традиций?
По-моему, дискуссия ушла совершенно в сторону. Но это тоже важный
момент, правда, отвечать на него я не буду. Если у кого-то возникнет
желание приблизится к истине (на которую я сам не претендую), позволю
порекомендовать следующее.
Пусть заинтересованное в решении данной проблемы лицо
походит с девушкой по местам развлечений. С позиций статистики
наступит момент, когда к ней кто-либо с чем-либо обратиться. Далее
данному лицу желательно выяснить реакцию девушки и провести с ней
беседу о разнообразии жизни и о традициях в общении с женщиной
в разных странах и во время разных исторических
периодов. Затем названный комплекс походов надо повторить с другой
девушкой. И т.д. Спустя некоторое время у заинтересованного лица
возникнет неплохая база для социологического исследования, конечно,
если к тому времени ему будет с кем ходить.
SN> Не хочу обидеть, но и Вы и Андрей Минков почему-то уводите разговор
SN> в сторону каждый раз, как начинаются конкретные примеры ситуаций.
SN> Мне кажется, что это свидетельствует о слабой обоснованности Ваших
SN> позиций.
А мне кажется, не имея никакого желания сделать аналогичное,
что Вы постоянно меняете условия примеров и невнимательно
читаете мои ответы.
Причем, в своем последующем письме от Date: Mon, 16 Dec 2002 09:17:37 +0300
Вы пишете:
"Я уже писал о том, что для веб-сайтов и форумов, которые
открываются анонимно вопрос де-факто вообще не стоит -
если не верите, можете поставить эксперимент. Сами сделайте порочущую
себя страничку на каком угодно бесплатном хостинге от чужого имени,
а потом шлите письмо владельцу хостинга с претензиями.
Такие страницы закрываются без проблем в соответствии с принятыми
полиси."
Что совпадает с моим ответом в самом начале дискуссии
(Date: Sat, 14 Dec 2002 00:55:17 +0300)
"С моей точки зрения, особо должен быть рассмотрен случай, когда
"поливание грязью" происходит анонимно, т.е., имеет место ситуация,
когда владелец ресурса не смог предоставить информацию о лице(-ах),
оставивших соответствующие сообщения. На самом деле, это 90 процентов
публикаций на всех досках, чатах, гостиных, ... А владелец таковых
становится ответственным за последствия использования собственного
ресурса."
С уважением,
Виктор Наумов
---
http://www.russianlaw.net
nau@
ICQ UIN 1383430 (only working hours)
St.Petersburg Institute for Informatics RAS
PO BOX 443, 199034, St.Petersburg, Russia
---
Use extra e-mail nau@
in error cases with nau@
------------------------------
Date: Mon, 16 Dec 2002 14:08:06 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: =?koi8-r?Q?Re:_=5Bnetlaws=5D_=5Bnetlaws=5D_Information_Society_Provider_L?= =?koi8-r?Q?iability:_=EF=D2=D5=DC=CC=CC_=CC=C9=3F?=
hello,
From: "Vasiliy Tomilin"
> хотел бы напомнить всем про общий подход в виде вероятностной пометки
> IP-пакетов на промежуточных устройствах - силами, например, тех же
> провайдеров.
1. Если можно кратко: в чем суть "вероятностной пометки"?
2. Сейчас этого нет, это надо внедрять - т.е. пересматривать протоколы
фактически...
> Тогда в случае DoS группы flooding - т.е. большого и интенсивного
> трафика - при грамотном размещении узлов пометки пакетов и постоянных
> в разумных пределах маршрутах передачи информации атакующий сам
> протопчет до себя тропинку.
А как быть с DoS при помощи "рефлетора"?
> А за анонимность и т.п. - а видеокамера Вас в супермаркете пугает?
> Меня нет, хоть я и параноик ;-) ......
Сейчас мы сорвемся в оффтопик полнейший ;)
Меня не пугают камеры наблюдения в любом месте, но лишь до тех пор, пока
информация от разных систем наблюдения и сбора транзакций не будет
консолидирована. Вот тогда я закрою нафиг все пластиковые карточки и уйду
жить в леса ;)
--
regards,
Vladislav V. Myasnyankin
Chief Information Security Officer
Bank "Severnaya Kazna".
www.kazna.ru / www.internetbank.ru
mvv@
phone (343-2) 59-27-32, 059
------------------------------
Date: Mon, 16 Dec 2002 12:27:55 +0300
From: "Stanislaw Z. Raczynski"
Subject: Re: Information Society Provider Liability
---- Original Message ----
From: "Victor Naumov"
To: "netlaws List Member"
Sent: Monday, December 16, 2002 11:54 AM
Subject: [netlaws] Information Society Provider Liability
> Есть такое слово "обоснованный". Ест., что каждый воспринимает его
> по-своему (даже суды). Но если у кого-либо перед собой пустой
> лист бумаги с единственным словом "убери", то, обычно, у
> здравомыслящего человека сомнения о том, что делать, не возникают.
> В других, более распространенных ситуациях, жалобщик довольно подробно
> описывает, кто он и почему что-либо нарушает его права и абсолютно не
> возражает, когда у него хотят получить дополнительные материалы.
> У кого хватит сил написать и желания рисковать, может принимать
> электронные сообщения и принимать из на веру. Для других существует
> обычная почта, в рамках которой на обращении ставится обычная подпись
> (и печать).
Кстати, существует классический пример (несетевой) с жалобой наследников
Ошанина на использование в рекламе слов "Пусть всегда будет солнце". Как
выяснилось, этот очевидный случай оказался совершенно неочевидным.
> "Мой" законопроект я сейчас комментировать не буду, не обессудьте - я
> непосредственно его пропагандой не занимался. Он
> 2 месяца назад принят ГД в первом чтении, по нему существует изрядно
> теоретических разъяснений, пояснительных записок, etc.
Ой... Кажется, я что-то пропустил. А можно какие-нибудь ссылки?
> "С моей точки зрения, особо должен быть рассмотрен случай, когда
> "поливание грязью" происходит анонимно, т.е., имеет место ситуация,
> когда владелец ресурса не смог предоставить информацию о лице(-ах),
> оставивших соответствующие сообщения. На самом деле, это 90 процентов
> публикаций на всех досках, чатах, гостиных, ... А владелец таковых
> становится ответственным за последствия использования собственного
> ресурса."
Хммм... Все время происходит смена понятий. Владелец ресурса или провайдер?
С наилучшими пожеланиями,
Станислав Рачинский
------------------------------
Date: Mon, 16 Dec 2002 12:24:27 +0300
From: Vasiliy Tomilin
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSBSZTogW25ldGxhd3NdIFtuZXRsYXdzXSBJbmZvcm1h?= =?koi8-r?B?dGlvbiBTb2NpZXR5IFByb3ZpZGVyIExpYWJpbGl0eTog79LV3MzMIMzJPw==?=
Hello Влад,
Monday, December 16, 2002, 12:08:06 PM, you wrote:
МВВ> 1. Если можно кратко: в чем суть "вероятностной пометки"?
МВВ> 2. Сейчас этого нет, это надо внедрять - т.е. пересматривать протоколы
МВВ> фактически...
На промежуточном устройстве в пакет С НЕКОТОРОЙ ВЕРОЯТНОСТЬЮ заносится регулярно обновляемая
метрика (идентификатор узла, идентификатор двух узлов и расст. между
ними). Формат - опция ИП-заголовка, например.
В конце пути собираем путь из кусочков и смотрим - а соответствует ли
маршрут и информация об адресах.
МВВ> А как быть с DoS при помощи "рефлетора"?
В любом случае надо сперва источник "атаки на меня" установить.
А там уж разберемся - рефлектор он или где.
--
С наилучшими пожеланиями,
Василий Томилин mailto:tomilin@
------------------------------
Date: Mon, 16 Dec 2002 14:41:39 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: =?koi8-r?Q?Information_Society_Provider_Liability:_=EF=D2=D5=DC=CC=CC?= =?koi8-r?Q?_=CC=C9=3F?=
hello,
From: "Vasiliy Tomilin"
> На промежуточном устройстве в пакет С НЕКОТОРОЙ ВЕРОЯТНОСТЬЮ заносится
регулярно обновляемая
> метрика (идентификатор узла, идентификатор двух узлов и расст. между
Т.е., существует ненулевая вероятность, что все устройства на маршруте
захотят пометить пакет или все не захотят?
> ними). Формат - опция ИП-заголовка, например.
> В конце пути собираем путь из кусочков и смотрим - а соответствует ли
> маршрут и информация об адресах.
Ага, но для этого я должен обладать базой данных о метках-идентификаторах
всех узлов сети. Проблематично.
Кроме того, поскольку эта информация открытая (раз получатель ее проверяет),
то кто мне мешает заранее нашлепать разных меток в поле опций заголовка?
> МВВ> А как быть с DoS при помощи "рефлетора"?
> В любом случае надо сперва источник "атаки на меня" установить.
> А там уж разберемся - рефлектор он или где.
Хорошо, разбудили админа в Зимбабве, выяснили, что его хост просто
рефлектор. Если он не ведет лог всех приходящих к нему пакетов, то как он
установит, откуда пришли провоцирующие DoS пакеты? Вероятностные метки
теоретически могут помочь только если это отслеживать в реальном времени...
--
regards,
Vladislav V. Myasnyankin
Chief Information Security Officer
Bank "Severnaya Kazna".
www.kazna.ru / www.internetbank.ru
mvv@
phone (343-2) 59-27-32, 059
------------------------------
Date: Mon, 16 Dec 2002 14:53:38 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: Information Society Provider Liability
hello,
From: "Serge Nesterovitch"
> МВВ> ПО без ошибок не бывает в принципе (если это не "Hello, world" в 3
строчки).
> Занудно замечу, что существуют автоматической технологии генерации 100%
> соответствующего спецификации, заданной в ТЗ. Уровень ошибок в софте,
100% соответствие ТЗ не противоречит аксиоме об ошибках. Оно будет на 100%
выполнять требования ТЗ и ... еще непонятно что ;)
Недаром существует сертификация "на отсутствие недекларированных
возможностей", хотя меня удивляет попытка доказать отсутствие чего-либо...
> обратиться к тематике данного списка, стоило бы законодательно
> стимулировать их внедрение, поборовшись за прекращения обмана
> потребителей.
Обмана нет. Просто не предоставляется выбора. Весь софт только as is.
> МВВ> Причем, есть варианты, когда злоумышленник на диалапе сможет
поставить раком
> МВВ> сервер на гигабитном канале - у последнего будет CPU usage 100%.
> Эти крайние варианты, скорее относятся всё же к некорректной реализации
> протокола в ПО.
Абсолютно корректно! Таймаут на разрыв соединения плюс таймаут на
"прибивание" child-process cgi-скрипта - и достаточно мощный портал
затыкается при помощи трафика 20 килобайт в секунду, что по силам любому
диалапщику.
Просто протоколы придумывались под рабочие условия, а не под экстрим...
--
regards,
Vladislav V. Myasnyankin
Chief Information Security Officer
Bank "Severnaya Kazna".
www.kazna.ru / www.internetbank.ru
mvv@
phone (343-2) 59-27-32, 059
------------------------------
Date: Mon, 16 Dec 2002 12:05:16 +0200
From: =?koi8-r?B?88XSx8XKIOHMxcvTwc7E0s/Xyd4g88XSxcTB?=
Subject: Re: Information Society Provider Liability
Обо всём понемногу:
Alexander Sergeev wrote:
> Главные ценности сторон сохранены. Жертвуем анонимность.
> В результате пострадавший может быстро либо добиться имени
> конечного ответственного (и потребовать от него сатисфакции
> в установленном порядке) либо добиться прекращения тревожащих
> его обстоятельств. И в идеале (в случае автоматизации процесса)
> все это за несколько минут/часов.
И до свидания свободе волеизъявления. Пахнет 1938 годиком:
"- А где же Ваше мнение, тов. Петров?
-А где же, тов. Иванов, высказавший своё мнение на прошлом собрании?"
---
Идея побега вассалов от сюзерена и организации "свободных поселений"
была популярна ещё с самого зарождения феодального строя, который, как
я понимаю, положил начало, в том числе, и законодательному
регулированию различных сфер человеческой деятельности. Подобные
"переселения" присущи Homo Sapiense и свидетельствуют о "не любви"
индивидуума к (излишнему) контролю над его действиями.
Учитывая, что в рамках сетей ЭВМ "побег из Интернет" намного проще
реализуем, чем, скажем, побег будущих казаков из сферы "юрисдикции"
Российской Империи, можно предположить, что когда условия пользования
этой ЧАСТНОЙ РЕАЛИЗАЦИЕЙ ГЛОБАЛЬНЫХ СЕТЕЙ ЭВМ достигнут неприемлемого
для пользователей уровня (что, кстати, уже происходит из-за резкой
"коммерциализации" Интернет), произойдёт стихийный отток пользователей
в сторону всяких Интернет-2, ФриНет и т.п. Законодательные же меры,
"привинченные" к Интернет, будут неэффективны в этих новых сетях,
ввиду другого принципа их устройства и функционирования.
Ха-ха. Ха-ха-ха :-(
---
Меня, что-то, здорово настораживает формулировка
"...услуги, которые используются или _могут_быть_использованы_ для
нарушения авторских или смежных прав..."
На Украине представители "внутренних органов" уже ходили (ок. года
назад) по всем фирмам, имеющим отношение к ИТ, и чуть-ли не
устраивали обыски, мотивируя это тем, что "эти фирмы _могут_
заниматься взломом ПО и его пиратским распространением".
(Информация была получена от моего личного знакомого,
владельца агентства по Веб-дизайну).
А для "нарушения авторских прав" на ПО, в частности, МОГУТ БЫТЬ
ИСПОЛЬЗОВАНЫ абсолютно все программно-аппаратные средства ЭВМ.
В части как таковых авторских произведений (книги, фильмы и т.п.) это,
конечно, не совсем так, но определённые вопросы всё равно есть.
Пример:
Как известно цитирование произведений без получения специального
согласия "обладателя исключительных авторских прав" разрешено законом.
Пусть, есть 100 (1000, 10000, ...) РАЗНЫХ форумов, в каждом из которых
цитируется 1/100 часть произведения. Если по аналогии с "Веб-сайтом"
считать Интернет большим коллективным произведением, получится, что
данное разбитое на 100 кусков произведение опубликовано целиком без
разрешения автора. Если же учесть, что у каждого форума есть свой
провайдер, хостер, владелец/администратор, которые для всех 100
форумов совпадать практически не могут, получается, что авторские
права и не нарушены вовсе. Так что любой иск, призывающий одного из
100 независимых друг от друга владельцев форумов "зарезать"
процитированную часть произведения будет неправомочен.
Ещё большую пикантность приобретает ситуация, если какая-то светлая
голова напишет портал, который сведёт вместе все законно опубликованные
отрывки произведения посредством гиперссылок на них, ни в коем случае
не размещая полное (слитое воедино) произведение на каком либо одном
носителе данных.
Вот "варезники" обрадуются.
Что скажете?
С уважением,
Сергей Середа
Движение "ПОтребитель"
(http://consumer.nm.ru v http://cie.ase.md/~sereda/)
------------------------------
Date: Mon, 16 Dec 2002 13:04:25 +0300
From: Vasiliy Tomilin
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSBJbmZvcm1hdGlvbiBTb2NpZXR5IFByb3ZpZGVyIExp?= =?koi8-r?B?YWJpbGl0eTog79LV3MzMIMzJPw==?=
МВВ> Т.е., существует ненулевая вероятность, что все устройства на маршруте
МВВ> захотят пометить пакет или все не захотят?
да-да, подбирайте вероятность пометки
модельки и практические эксперименты в рамках, безусловно, локальной
сети, показали, что идет нормальный процесс "измерений".
поясняю: метки перезаписываются, т.е. вопрос длины не стоит.
каждый следующий узел может переписать метку предыдущих.
МВВ> Ага, но для этого я должен обладать базой данных о метках-идентификаторах
МВВ> всех узлов сети. Проблематично.
Зависит от количества узлов, конечно.
Если считать, что "диаметр Интернета" не превышает 30 хопов, причем
часть хопов - на бекбонах с часто меняющимся маршщрутом и высокими
скоростями (фиг пометишь да и без толку), то узлов можно прикинуть, сколько
надо
МВВ> Кроме того, поскольку эта информация открытая (раз получатель ее проверяет),
МВВ> то кто мне мешает заранее нашлепать разных меток в поле опций заголовка?
шлепайте - все одно перепишем ;-)
и выбросы отслеживать будем - чистые измерения и теория измерений
МВВ> Хорошо, разбудили админа в Зимбабве, выяснили, что его хост просто
МВВ> рефлектор. Если он не ведет лог всех приходящих к нему пакетов, то как он
МВВ> установит, откуда пришли провоцирующие DoS пакеты? Вероятностные метки
МВВ> теоретически могут помочь только если это отслеживать в реальном времени...
в реальном времени или по протоколу - чтобы установить откуда.
И мне пока не надо - прагматик я - чтобы "враг был сразу пойман", мне надо
этого зимбабвийца дернуть не через 8 человеческих ленивых прокладок, а
автоматом его вычислить.
пусть он атаку снимет, потом вместе разберемся ;-)
------------------------------
Date: Mon, 16 Dec 2002 12:12:58 +0200
From: =?koi8-r?B?88XSx8XKIOHMxcvTwc7E0s/Xyd4g88XSxcTB?=
Subject: Re: Information Society Provider Liability
Serge Nesterovitch wrote:
>>> А улучшать ПО, под которым работают роняемые безмозглыми малолетками
>>> сайты, как я понимаю, вообще не вариант?
МВВ>> Алексей, Вы программист? Судя по приведеннной фразе - нет.
МВВ>> ПО без ошибок не бывает в принципе (если это не "Hello, world" в 3 строчки).
> Занудно замечу, что существуют автоматической технологии генерации 100%
> соответствующего спецификации, заданной в ТЗ. Уровень ошибок в софте,
> которые они обеспечивают, можно с известной натяжкой считать нулевым.
> Другое дело, что индустрии не выгодно их внедрение, пока есть
> возможность отмазываться пресловутым принципом AS IS. А потом
> межпланетные станции на Марс падают. Возможно, если уж
> обратиться к тематике данного списка, стоило бы законодательно
> стимулировать их внедрение, поборовшись за прекращения обмана
> потребителей.
Сергей! И где же Вы были до сих пор!!!!
;-)
С уважением,
Сергей Середа
Движение "ПОтребитель"
(http://consumer.nm.ru v http://cie.ase.md/~sereda/)
------------------------------
Date: Mon, 16 Dec 2002 13:41:42 +0300
From: Vasiliy Tomilin
Subject: Re: Information Society Provider Liability
Hello Serge,
Monday, December 16, 2002, 9:17:37 AM, you wrote:
SN> причине, что не менее 20% компьютеров конечных пользователей бывали
SN> заражены вирусами и троянскими конями.
Не затруднит ли Вас поделиться источником статистики?
--
С наилучшими пожеланиями,
Василий Томилин mailto:tomilin@
------------------------------
Date: Mon, 16 Dec 2002 14:10:38 +0300
From: Victor Naumov
Subject: Re: Information Society Provider Liability
Monday, December 16, 2002, 12:27:55 PM, you wrote:
SZR> ---- Original Message ----
SZR> From: "Victor Naumov"
SZR> To: "netlaws List Member"
SZR> Sent: Monday, December 16, 2002 11:54 AM
SZR> Subject: [netlaws] Information Society Provider Liability
>> "Мой" законопроект я сейчас комментировать не буду, не обессудьте - я
>> непосредственно его пропагандой не занимался. Он
>> 2 месяца назад принят ГД в первом чтении, по нему существует изрядно
>> теоретических разъяснений, пояснительных записок, etc.
SZR> Ой... Кажется, я что-то пропустил. А можно какие-нибудь ссылки?
Пояснительную я видел на www.copyright.ru и www.akdi.ru
>> "С моей точки зрения, особо должен быть рассмотрен случай, когда
>> "поливание грязью" происходит анонимно, т.е., имеет место ситуация,
>> когда владелец ресурса не смог предоставить информацию о лице(-ах),
>> оставивших соответствующие сообщения. На самом деле, это 90 процентов
>> публикаций на всех досках, чатах, гостиных, ... А владелец таковых
>> становится ответственным за последствия использования собственного
>> ресурса."
SZR> Хммм... Все время происходит смена понятий. Владелец ресурса или провайдер?
Нет! Мы рассматривали общую проблему ответственности информационного провайдера
(посредника). Он м. являться владельцем Веб-сайта, Веб-доске к-го что-то
пишут, м.б. провайдером доступа или хостинг-провайдером, владельцем
общедоступной библиотеки, на к-й что-то автоматически публикуется...
С уважением,
Виктор Наумов
---
http://www.russianlaw.net
nau@
ICQ UIN 1383430 (only working hours)
St.Petersburg Institute for Informatics RAS
PO BOX 443, 199034, St.Petersburg, Russia
---
Use extra e-mail nau@
in error cases with nau@
------------------------------
Date: Mon, 16 Dec 2002 14:11:12 +0300
From: Victor Naumov
Subject: Re: Information Society Provider Liability
Monday, December 16, 2002, 12:27:55 PM, you wrote:
SZR> ---- Original Message ----
SZR> From: "Victor Naumov"
SZR> To: "netlaws List Member"
SZR> Sent: Monday, December 16, 2002 11:54 AM
SZR> Subject: [netlaws] Information Society Provider Liability
>> "Мой" законопроект я сейчас комментировать не буду, не обессудьте - я
>> непосредственно его пропагандой не занимался. Он
>> 2 месяца назад принят ГД в первом чтении, по нему существует изрядно
>> теоретических разъяснений, пояснительных записок, etc.
SZR> Ой... Кажется, я что-то пропустил. А можно какие-нибудь ссылки?
http://www.russianlaw.net/law/acts/z26.htm
Пояснительную я видел на www.copyright.ru и www.akdi.ru
>> "С моей точки зрения, особо должен быть рассмотрен случай, когда
>> "поливание грязью" происходит анонимно, т.е., имеет место ситуация,
>> когда владелец ресурса не смог предоставить информацию о лице(-ах),
>> оставивших соответствующие сообщения. На самом деле, это 90 процентов
>> публикаций на всех досках, чатах, гостиных, ... А владелец таковых
>> становится ответственным за последствия использования собственного
>> ресурса."
SZR> Хммм... Все время происходит смена понятий. Владелец ресурса или провайдер?
Нет! Мы рассматривали общую проблему ответственности информационного провайдера
(посредника). Он м. являться владельцем Веб-сайта, Веб-доске к-го что-то
пишут, м.б. провайдером доступа или хостинг-провайдером, владельцем
общедоступной библиотеки, на к-й что-то автоматически публикуется...
С уважением,
Виктор Наумов
---
http://www.russianlaw.net
nau@
ICQ UIN 1383430 (only working hours)
St.Petersburg Institute for Informatics RAS
PO BOX 443, 199034, St.Petersburg, Russia
---
Use extra e-mail nau@
in error cases with nau@
------------------------------
Date: Mon, 16 Dec 2002 16:40:08 +0500
From: "=?koi8-r?B?7dHTztHOy8nOIPfMwcTJ08zB1yD3zMHEyc3J0s/Xyd4=?="
Subject: Information Society Provider Liability
Форвард по проосьбе автора:
----- Original Message -----
From: "Andrew A. Mezhutkov"
Sent: Monday, December 16, 2002 4:41 PM
Subject: Fwd: Re: [netlaws] Information Society Provider Liability
> Hello Сергей,
>
> Monday, December 16, 2002, 3:05:16 PM, you wrote:
>
> САС> Идея побега вассалов от сюзерена и организации "свободных поселений"
> САС> была популярна ещё с самого зарождения феодального строя, который,
как
> САС> я понимаю, положил начало, в том числе, и законодательному
> САС> регулированию различных сфер человеческой деятельности. Подобные
> САС> "переселения" присущи Homo Sapiense и свидетельствуют о "не любви"
> САС> индивидуума к (излишнему) контролю над его действиями.
> САС> Учитывая, что в рамках сетей ЭВМ "побег из Интернет" намного проще
> САС> реализуем, чем, скажем, побег будущих казаков из сферы "юрисдикции"
> САС> Российской Империи, можно предположить, что когда условия пользования
> САС> этой ЧАСТНОЙ РЕАЛИЗАЦИЕЙ ГЛОБАЛЬНЫХ СЕТЕЙ ЭВМ достигнут неприемлемого
> САС> для пользователей уровня (что, кстати, уже происходит из-за резкой
> САС> "коммерциализации" Интернет), произойдёт стихийный отток
пользователей
> САС> в сторону всяких Интернет-2, ФриНет и т.п. Законодательные же меры,
> САС> "привинченные" к Интернет, будут неэффективны в этих новых сетях,
> САС> ввиду другого принципа их устройства и функционирования.
> с Дона выдачи нет! 8-))
>
> как я представляю, расслоение будет не выделением на "интернет-1"...
> "интернет-N", а по принципу, по которому уже работает сеть ФИДО,
> например. в каждой эхе есть полиси. либо каждый участник его
> выполняет, либо в эхе не участвует. а там может быть написано -
> анонимность отсутствует.
> т.е. вопрос сводится к другому - а действительно ли тов. петров есть
> петров, а не сидоров? а этот проблем вполне решаем.
> там (если) где этот вопрос не возникает не обижайтесь. никто вам
> ничего не должен. впрочем и вы тоже...
> ...
>
> САС> На Украине представители "внутренних органов" уже ходили (ок. года
> САС> назад) по всем фирмам, имеющим отношение к ИТ, и чуть-ли не
> САС> устраивали обыски, мотивируя это тем, что "эти фирмы _могут_
> САС> заниматься взломом ПО и его пиратским распространением".
> САС> (Информация была получена от моего личного знакомого,
> САС> владельца агентства по Веб-дизайну).
> а ить могут!
>
> "- ну тогда судите меня за изнасилование
> - а кого вы изнасиловали?
> - никого, но возможность имею"
>
> печальной будет эта песня. 8-(
>
> впрочем дискуссия как-то свернула в сторону...
>
> --
> Best regards,
> Andrew mailto:andrew@
------------------------------
Date: Tue, 17 Dec 2002 09:29:18 +0300
From: Serge Nesterovitch
Subject: Re: (No Subject)
Приветствую.
AS>>> Вот, например, некоторое время назад проходила информация,
AS>>> что во Франции собираются запретить анонимное создание
AS>>> веб-сайтов/форумов. То есть не публиковать имя ты можешь,
AS>>> но при подаче соответствующего официального запроса имя
AS>>> автора должно быть раскрыто любому лицу.
SN>> Идиотов, не понимающих, что в компьютерной сети можно подделать
SN>> абсолютно любую информацию хватает везде.
VN> резковато сказано...
Но по сути дела, увы, верно. Т.е. я не отрицаю возможности построения
непроламывамой системы. Я утверждаю, что ресурсы, который для этого
требуются непропорциональны реально вкладываемым.
VN> ну, скажем так, данное заявление не является абсолютно верным.
VN> для парирования подобных вещей и придуманы специальные протоколы.
Я исхожу из презумпции недостаточной квалификации конечного
пользователя. Эта презумпция обоснована практическим опытом - средний
юзер, желающий работать под виндой и лазить под интернет не в
состоянии закрыть свою машину надёжно. Более того, на практике для
такого надёжного закрытия Windows необходимо отключить примерно половину
изобразительных средств интернет в броузере, например, запретить все варианты
JavaScript/ActiveScript, Flash и ActiveX, включая подписанные (и этим
список отключаемых вещей не ограничивается), поставить несколько
патчей (причём список их не очевиден) и уповать на то, что не найдётся
новой дыры.
VN> любопытно, что они реально работают, в противном случае никто бы не
VN> заморачивался подобным времяпрепровождением. примерам несть числа.
VN> дабы не быть голословным - скажите у вас пластиковая банковская карта
VN> есть? и с вашего счета "подделав абсолютно любую информацию" по вашим
VN> данным и трансакцию с банкомата денег еще не сняли "под ноль"?
Пример неудачный. Я намного профессиональней в этих вопросах, чем
средний юзер, просто почти никогда не предоставлял такой возможности
мошенникам.
А уж по поводу кредитных карточек - то, пардон муа, если для Вас
является сюрпризом их массовое воровство, то разговор просто
беспредметен. Я не спорю, что напрямую SSL какой-нибудь пробить
сложновато. Но это и не нужно. Металическая дверь не представляет
серьёзной защиты, если стена, в которую она встроена - из
гипсокартона. Неленивому человеку не так уж сложно найти в сети места
где номера этих карточек продаются, кстати, и убедиться в том, что
не всё так уж розово...
SN>> Принятие подобного закона привело бы к волне злоупотреблений и
SN>> подстав. Или напрочь ликвидировало бы 7/8 интернета - потому как
SN>> болшинство авторов страничек отнюдь не жаждут переться в другой город
SN>> (страну) с паспортом для того, чтобы удостоверить свою личность, а все другие
SN>> способы ненадёжны.
VN> достаточно допереться до ближайшего удостоверяющего центра. это
VN> разовое действие и не является столь уж напряжным.
VN> получаете паспорт вы тоже не по почте.
Это действие не разовое, а, заметьте, до первого трояна на Вашей
машине.
AS>>> Допустим в обязанность провайдеру будет вменено в обязанность
AS>>> немедленно раскрывать паспортные данные и контактные реквизиты
AS>>> владельца сайта не суду, а любому гражданину, подавшему официальный
AS>>> запрос в установленном порядке.
SN>> А с какой радости? Вы вообще реально представляете, чем это чревато?
SN>> Мне довелось наблюдать несколько компаний по травле отдельных людей
SN>> 'сетевой общественностью', которой что-то не понравилось. Представьте
SN>> себе, что кто-то предал гласности Ваши персональные координаты и Вам
SN>> на протяжении года-двух звонят домой анонимные уроды и угрожают Вам и
SN>> Вашим близким. Никому бы в такой ситуации не пожелал бы оказаться.
VN> в данном случае позиция александра мне ближе. подав заявку в
VN> установленной форме, имярек тем самым говорит, что именно он получил
VN> персональные данные тов сидорова, скрывающегося за ником "петров".
VN> следуя такому регламенту _можно_ вычислить того самого "анонимного урода",
VN> спровоцировавшего звонки.
Да ну? 2 человека подают официальные заявки, один выкладывает
информацию в сеть. Дальше что?
На самом деле тут уже совершенно справедливо ссылались на
соответствующую статью Конституции - так что я полагаю дальнейшее
развитие разговора в этом направлении излишним.
Констатирую только, что повторно наблюдаю желание ограничить
конституционные права граждан ради абстрактно-понимаемого удобства
разборок в ситуации, когда это ВООБЩЕ не нужно.
Если у кого-то есть существенные претензии к клиенту провайдера - он и
так получит его координаты. Я вообще не понимаю, почему раз за разом
производятся попытки вывести именно интернет из общегражданского
правового поля. Почему, к примеру, никто не предлагает отменить на АТС
"Категорию А" и раздавать чужие телефоны и адреса засекреченных
абонентов по первому обращению любого желающего?
SN>> Электронная подпись сама по себе ничего не гарантирует, по той
SN>> причине, что не менее 20% компьютеров конечных пользователей бывали
SN>> заражены вирусами и троянскими конями. Потерять такой ключ - нефиг
SN>> делать, и не заметишь даже, а программно-аппаратная реализация стоит
SN>> достаточно серьёзных денег.
VN> паспорт тоже можно потерять. или его могут даже спереть. это не довод.
Это довод. Вы невнимательно читаете то, что я написал, это
неправильно.
Более 20% людей не теряли свои паспорта. А мне цифра 20%
представляется даже заниженной, если смотреть именно на частных лиц, а
не на корпоративных пользователей. Более того, в отличие от утери
паспорта факт заражения трояном может оставаться незамеченным
неопределённо долгий период времени.
VN> при утере паспорта (компрометации ключа) существует определенный
VN> регламент - сиречь протокол, следуя которому, вы снимаете с себя
VN> ответственность за то, что им сможет воспользоваться злоумышленник.
Задним числом Вы эту ответственность по поводу ЭЦП не снимете.
Вероятность своевременного обнаружения утери ключа неквалифицированным
пользователем крайне мала.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 10:20:53 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Приветствую.
>> МВВ> придется. Получил сертификат ключа подписи в ближайшем УЦ - и можно
>> МВВ> достаточно надежно аутентифицироватьтся в электроном виде; проверка
МВВ> возможна
>> МВВ> по цепочкам кроссертификации.
>> Как Вы будете бороться с уворовыванием ключей?
МВВ> Нехорошо отвечать вопросом на вопрос, но "А как Вы будете бороться с
МВВ> подделкой документов?" ;)
Стандартными средствами. Не забывайте - для подделки защищённого
документа нужны на несколько порядков более серьёзные ресурсы, чем для
спаммерской рассылки в 2 млн. адресов троянского коня отправляющего
определённые файлы из машины, к примеру, в news-группу
alt.fan.sex.binaries предварительно зашифровав их известным
злоумышленнику ключём. Кстати, это не моя фантазия - реально есть
трояны, которые работают подобным образом.
МВВ> Да, теоретически ключ можно утащить. Но много ли Вы можете привести
МВВ> прецедентов?
Я могу привести офигительное количество прецедентов воровста
диалаповских паролей, к примеру. Это минимум десятки инцидентов
только по Москве ежедневно. А может и сотни.
В ситуации, когда энд-юзерский комп будет содержать не один, а два
файла с ключами, представляющими ценность - вороваться будут оба.
МВВ> А ведь народ с ЭЦП работает очень активно - в банки мало кто
МВВ> таскает бумажные платежки, все в эл. виде, с ЭЦП.
Вы путаете квалифицированного пользователя и среднего, круг первых
на два порядка меньше, и они сильнее мотивированны.
А Вы хотите заставить учиться сложным вещам всех.
МВВ> Если юзер не полный дегенерат, ему объяснена вся важность сохранения ключа,
МВВ> то уровень безопасности получается приемлемый.
Чушь какая. Вы когда-нибудь сталкивались с реальной поддержкой
частных пользователей? Не корпоративных, а именно частных, которых
нельзя уволить или застроить?
Среднему пользователю ничего невозможно
объяснить, по крайней мере в настройке винды и корректной работе с
софтом. Он слишком сложен, имеющийся софт и им сейчас пользуется любая
домохозяйка.
Мне вот сейчас оказалось дешевле и проще гонять своих сотрудников
к энд-юзерам настраивать им сетевое ПО бесплатно домой, чем
руководить процессом по телефону. Доля людей, который вообще что-то
способны сделать самостоятельно со своим компом - хорошо, если 1/3,
а тех, кто способен сделать всё по правилам и надёжно закрыть все дыры
- единицы. Это сисадмины :((((
>> Имеющееся системное ПО для персональных компьютеров не обеспечивает
>> даже минимально-приемлемого уровня безопасности. Использование
МВВ> Да ну? Вот жаль, что я выделенкой не обзавелся ;) А то сказал бы Вам ip
МВВ> своего домашнего компьютера и предложил вытащить оттуда хотя бы один файлик,
МВВ> не говоря уже об установке клавиатурного шпиона для перехвата пароля ;) А
МВВ> дома у меня стоит самая обычная ОС, а не военная ;)
У Вас ActiveX/ActiveScript отключены?
Если нет, то считайте, что уже попали.
Полазайте немного по порносайтам со своего диалапа и обзаведётесь необходимой троянской
дрянью типа Hotplesure, которая Вам автоматом при заходе в сеть будет
открывать порнуху в 10 окнах. Антивирусами не лечится, вручную удалить
не сисадмину невозможно.
Если они у Вас отключены, то Вы не являетесь типичным представителем
класса массовых пользователей.
Когда я говорю о минимально приемлемом уровне, я подразумеваю, что
безопасность должна обеспечиваться при стандартной установки ОС, а не
после тюнинга и обвешивания файерволами.
>> частном общении. Более того, в соответствии с требованиями ФАПСИ
>> сертификации в качестве средства защиты информации
>> подлежат _экземпляры_ аппаратно-программных комплексов,
>> т.е. каждый конкретный компьютер с установленным на него софтом надо
МВВ> Сергей, а можно привести ссылку на документ, из которого Вы этот почерпнули?
По памяти не помню. Сходите, к примеру на сайт Гостехкомиссии, там
список сертифицированных средствзащиты информации лежит с указанием
именно что их серийных номеров.
МВВ> Все сертификаты, которые я видел, выдавались на "криптографическое средство"
МВВ> и были действительны при выполнении ряда требований (КС1, КС2 и т.п.), в
МВВ> которых отсутствовал пункт о спецпроверке аппаратуры.
Среди этих криптографических средств присутствовали чисто программные
средства? Если нет, то о чем мы вообще говорим?
Вы хотите каждго из нескольких милионов пользователей рунет железкой
обвесить? И они эти КСы у себя дома будут выполнять?
МВВ> Более того, если человек использует ЭЦП в рамках какой-то информационной
МВВ> системы, то лицензии ФАПСИ достаточно иметь только организатору системы, а
МВВ> не каждому пользователю.
Мы говорим не о лицензии, а о юрдической значимости ЭЦП. Без
сертификата на криптографическое средство она несколько сомнительна.
И если уж на то пошло, то Вы предлагаете лицензии ФАПСИ получать
владельцам форумов или интернет-провайдерам?
И что, они таки будут распространяться на частных лиц, которые будут
форумом пользоваться или доступ в интернет получать? :))))
>> тащить к ним на проверку. Это требование разумно - потенциальная
>> возможность внедрения программных 'закладок' обессмысливает
>> использование чисто программных решений для ЭЦП в тех случаях, когда
МВВ> Потенциально можно на гололеде упасть и убиться. Но люди ходят по улицам,
МВВ> ибо абсолютной безопасности не существует.
Вероятность упасть в гололёд и что-то серьёзно себе повредить намного
меньше, чем вероятность потерять ЭЦП для среднего эндузера.
Я уж молчу о том, что воспользоваться паспортном знакомого, к которому
зашёл в гости достаточно сложно, а сесть за чужой комп и отписать
что-то с чужим ключём - нефиг делать.
МВВ> Кстати, Вы в курсе, что существуют решения типа JavaButton или смар-карт,
МВВ> которые позволяют ставить ЭЦП, не выводя секретный ключ в "недоверенную
МВВ> среду"?
Я в курсе как они работают. И сколько стоит железо, которое необходимо
для их подключения к компу я тоже в курсе.
МВВ> (справедливости ради: все равно остается возможность подсунуть на
МВВ> подпись фальшивые данные,
И что тот же самый троян просто может передать им на подпись
необходимую информацию а потом запостить в интернет - я тоже в курсе
:)
МВВ> но и защищаемый Вами бумажный документ - не
МВВ> абсолютен в плане защиты).
Да, но он не даёт такой возможности для злоупотребления от чужого
имени.
Скороть транзакций, которые с ним можно проводить намного меньше, чем
у электронного.
А главное - я не защищаю бумажные документ.
Я выступаю против того, чтобы всех пользователей интернет пытались
обязать подписывать свои сообщения какими-то ЭЦП (якобы для удобства
идентификации если они кого-то оклевещут, оскорбят женщину или будут
нечестно конкурировать) как против неэффективной, дорогой и
несправедливой меры.
>> за сообщения, подписанные такой подписью есть потенциальная
>> возможность ответить юридически.
МВВ> Угу. Системы клиент-банк не пример? И ведь пользуются...
Ими пользуются в достаточно серьёзно защищаемой среде.
Причём защищается она не только техническими методами,
но и юридическими и всякими другими - если Вы переведёте
на свой счёт деньги при помощи чужого клиент-банка, Вы не останетесь
анонимны. И...
>> Я уж молчу о том, что отечественный стандарт ЭЦП не совместим со
>> стандартами принятыми в иных государствах. И о том, что
МВВ> И что с того? А иностранные стандарты несовместимы с нашим ;) Будем мерятся,
МВВ> у кого площадь поверхности суши больше? ;)
Нет, мы для публикации на каждом форуме, сервер хостящий который расположен в той или
иной стране будем ездить туда по специальной юридической визе и
получать там ЭЦП в удостоверяющем центре, которые там специально для
этого откроют по Российскому Закону :E`
МВВ> Консенсус в этом вопросе - проблема чисто техническая. Или придем к
МВВ> общемировому стандарту, или остановимся на одном из распространенных (edsa
МВВ> или наш ГОСТ Р34.10-2001)
Если это чисто техническая проблема - пожалуйста обеспечьте его
достижение в мировом масштабе :)
За последние 10-20 лет это не удалось заинтересованным сторонам, но
может быть Вы им поможете?
>> в каждом районном Усть-Урюпинске Вы удостоверяющей центр всё равно не
МВВ> Его и не надо на каждом хуторе разворачивать. УЦ (CA в буржуйской
МВВ> терминологии) на каждом углу не нужны, достаточно развитой должна быть сеть
МВВ> РЦ (RA - регистрационных центров). В общем, если грамотно подойти к вопросу,
МВВ> то можнно все это организовать достаточно недорого.
>> развернёте, потому что это дорогостоящее мероприятие. Я бизнес-план
>> считал, это если всё по уму делать - несколько сотен тысяч долларов по
>> минимуму. Ну можно снизить до где-то 150000-180000 за счёт массовости.
>> Но вряд ли ниже - там же помещение надо оборудовать по ГОСТу, охрана
>> всякая и т.д.
МВВ> Я сейчас занимаюсь УЦ. Поверьте, сумма гораздо ниже ;) И, кстати, ГОСТа на
МВВ> оборудование УЦ не существует.
Я говорю о ГОСТе на защищённость помещений.
То, что сейчас нету требований к УЦ, не говорит о том,
что они не появятся вообще.
Если у Вас получается дешево - скорее всего Вы не учитываете меры
физической безопасноти в полном объёме, или планируете использовать
имеющуюся инфраструктуру безопасности.
Я считал проект с нуля и мне Ваша оценка представляется слабо
обоснованной, если честно.
>> Оплачивать развернутую инфраструктуру таких центров - конечному
>> пользователю интернет. И ради чего?
МВВ> Уф. А ради чего я должен оплачивать инфраструктуру паспортных столов?
МВВ> Как Вы совершенно справедливо заметили, при достаточном уровне
МВВ> стандартизации и массовости этого дела, сертификат ключа ЭЦП (aka -
МВВ> электронный паспорт) будет не дороже (а скорее даже намного дешевле)
МВВ> традиционного документа.
МВВ> Единственное, что напрягает - в родной стране все делается не по уму и любую
МВВ> идею доводят до абсурда. Вспомним проект РИК.
Паспорт выполняет необходимую государству функцию.
Какую необходимую государству функцию будет выполнять принудительная
ЭЦПизация пользователей интернет? Правильно, никакую.
>> Есть технические средства решения этой проблемы. Они сейчас постепенно
>> внедряются и за 3-5 лет думаю проблема DDoS будет окончательно решена.
>> Может быть и быстрее - просто я пессимист в таких вопросах.
МВВ> Ой. Очень интересно. Может быть, поделитесь информацией? Насколько я понимаю
МВВ> суть проблемы, принципиально бороться с DDoS можно только отключением от
МВВ> канала.
Фигня какая. Ставится фильтр на пограничном маршрутизаторе, к примеру,
и все дела. Проблема состоит в том, чтобы пресечь уход поддельных
пакетов пакетов в сетях-источниках. Для этого надо оперативно их распозновать, т.е.
определять ситуации когда пакет, находящийся внутри конкретной сети
а) не мог быть в ней создан
б) не мог в неё попасть в соответствии с имеющимися правилами
маршрутизации
Сложность задачи состоит в том, что для каждого пакета такую проверку
делать невозможно - слишком она долго идёт. Надо распознавать серию некорректных
пакетов (у них, как правило одинаковый адрес назначения) и рубить их
по этому адресу. Есть уже IDS, которые эту фигню отлавливают
и соответственно перенастраивают фильтры на пограничной Cisco
(названия конкретных программ не помню) но их внедрение пока что ограничивается
отсутствием прямой выгоды для конкретной сети, которая ставит.
Тем не менее, внедряют такие штуки потихоньку, поскольку фича идёт в
общем более полезном для конкретной сети пакете.
>> Нераспределённая DoS атака уже и сейчас достаточно эффективно гасится,
>> а автор её вычисляется и получает по рукам.
МВВ> Еще интереснее.
МВВ> Пример: я формирую пакет с Вашим адресом в качестве адреса источника и
МВВ> отправляю его на некий адрес, который ответит на него пакетом, скажем, раз в
МВВ> 20 большего размера (ответ, очевидно, прилетит Вам). Как будете бороться и
МВВ> вычислять?
Эту уже в Inetadmins, а не сюда.
Юзайте ACL на пограничном маршуртизаторе.
МВВ> Или у Вас на всех промежуточных узлах интернета свои люди и
МВВ> включено протоколирование?
Если меня сильно зааноят - я отпинаю все промежуточные NOC, при том
условии, что пойму, что атака идёт с одного конкретного адреса.
Примеры, собственно говоря имеются.
МВВ> К сожалению, рекомендации по настройке
МВВ> маршрутизаторов не выпускать пакет из сети, если его адрес источника ей не
МВВ> принадлежит остаются лишь рекомендациями.
МВВ> Вобщем, надежного средства против грамотно построенной DoS-атаки пока не
МВВ> существует..
Эти средства могут быть эффективны только в масштабах Интернет как
такового. Чем больше сетей у себя их внедрят, тем сложнее будет
осуществить такую атаку.
--
Best regards,
Serge mailto:felix@
P.S. Прошу извинить за возможный оффтопик.
Я буду отвечать и на последующие письма, но медленне, чем раньше.
------------------------------
Date: Tue, 17 Dec 2002 10:25:51 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Приветствую.
>> МВВ> Причем, есть варианты, когда злоумышленник на диалапе сможет
МВВ> поставить раком
>> МВВ> сервер на гигабитном канале - у последнего будет CPU usage 100%.
>> Эти крайние варианты, скорее относятся всё же к некорректной реализации
>> протокола в ПО.
МВВ> Абсолютно корректно! Таймаут на разрыв соединения плюс таймаут на
МВВ> "прибивание" child-process cgi-скрипта - и достаточно мощный портал
МВВ> затыкается при помощи трафика 20 килобайт в секунду, что по силам любому
МВВ> диалапщику.
МВВ> Просто протоколы придумывались под рабочие условия, а не под экстрим...
Оторвите руки своему админу, если он Вас грузит такой фигнёй.
На нормальном хостинге стоят ограничения по нагрузке процессора отдельно взятым
пользователем.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 10:27:16 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
>>>> А улучшать ПО, под которым работают роняемые безмозглыми малолетками
>>>> сайты, как я понимаю, вообще не вариант?
МВВ>>> Алексей, Вы программист? Судя по приведеннной фразе - нет.
МВВ>>> ПО без ошибок не бывает в принципе (если это не "Hello, world" в 3 строчки).
>> Занудно замечу, что существуют автоматической технологии генерации 100%
>> соответствующего спецификации, заданной в ТЗ. Уровень ошибок в софте,
>> которые они обеспечивают, можно с известной натяжкой считать нулевым.
>> Другое дело, что индустрии не выгодно их внедрение, пока есть
>> возможность отмазываться пресловутым принципом AS IS. А потом
>> межпланетные станции на Марс падают. Возможно, если уж
>> обратиться к тематике данного списка, стоило бы законодательно
>> стимулировать их внедрение, поборовшись за прекращения обмана
>> потребителей.
САС> Сергей! И где же Вы были до сих пор!!!!
САС> ;-)
А причём тут я?
Обращайтесь в Мин Обороны США, к примеру.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 10:31:02 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
SN>> причине, что не менее 20% компьютеров конечных пользователей бывали
SN>> заражены вирусами и троянскими конями.
VT> Не затруднит ли Вас поделиться источником статистики?
Личный опыт осуществления и руководства тех поддержкой ( в числе
прочих вопросов) в 3 ISP с 97 года и
в полутора десятках коммерческих организациях (+ море частных лиц)
с 89-го года.
Я Вас уверяю, ситуация в этой сфере уже лет 7 абсолютно стабильна -
никакого прогресса :(((
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 10:40:54 +0300
From: Serge Nesterovitch
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSAgy9PUwdTJLi4u?=
Hello Мяснянкин,
Monday, December 16, 2002, 11:40:50 AM, you wrote:
МВВ> From: "Serge Nesterovitch"
>> 1) DDoS атаки как раз и устраиваются в 90% случаев путём
МВВ> Не обязательно. Гораздо эффективнее использовать "рефлектор". Кстати, к
МВВ> этому все и идет...
Рефлектор - это не DDoS, а DoS.
Используйте ACL.
>> 2) Эффективное подписывание пакетов на уровне протокола невозможно
>> в силу того, что для генерации невзламываемой ЭЦП необходимо довольно
>> большое время, а если снизить длину ключа, чтобы это время стало
>> приемлемым (не возникали постоянные тайм-ауты) то такой короткий
>> секретный ключ довольно легко восстановить по подписанным пакетам и далее
МВВ> Перевод алгоритма Эль-Гамаля в пространство эллиптических кривых позволил
МВВ> _в_разы_ уменьшить длину ключа при сохранении той же стойкости.
Накладные расходы на паразитный криптографический трафик всё равно
клиенту оплачивать.
>> генерировать их от чужого имени. Такой механизм подписывания пакетов
>> применён в Novell Netware в протоколе IPX/SPX, (весьма похожем на
МВВ> Занудно замечу, что все-таки не ipx, а ncp - netware core protocol.
А что, NCP не является протоколом семейства IPX/SPX? (я тоже зануда)
>> TCP/IP) но он носит довольно вспомогательный характер и его
>> нестойкость была продемонстрирована.
МВВ> Естественно. Ведь механизм ncp packet signature, введенный Novell после
МВВ> "голландской атаки", использует симметричные алгоритмы и совсем уж
МВВ> неприлично маленькие размеры подписи (32 бита). Кривой реализацией можно
МВВ> убить любую идею...
Не слышал о примерах прямой реализации.
Не поделитесь? Или фирму Микрософт будем заставлять подписывать
IP-пакеты российским законом? ;-)
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 10:41:55 +0300
From: Serge Nesterovitch
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSBbbmV0bGF3c10gSW5mb3JtYXRpb24gU29jaWV0eSBQ?= =?koi8-r?B?cm92aWRlciBMaWFiaWxpdHk6IO/S1dzMzCDMyT8=?=
VT> А за анонимность и т.п. - а видеокамера Вас в супермаркете пугает?
VT> Меня нет, хоть я и параноик ;-) ......
В супермаркете - плевать.
Если речь пойдёт о тотальном видеоконтроле городских улиц - я против.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 10:54:05 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Приветствую.
SN>> - как интернет-провайдер должен определять правомочность обращения
SN>> лица, претендующего на то, что оно представляет интересы
SN>> обладателя авторских прав, которые якобы были нарушены вне судебной
SN>> процедуры? Должен ли он принимать к исполнению любое обращение
SN>> организации, осуществляющей коллективное управление правами, как это
SN>> вытекает из Вашего проекта поправок к Закону об авторском праве...
SN>> и кто будет возмещать убытки правообладателей в том случае,
SN>> если это обращение неправомерно? (В конкретном примере, который я
SN>> приводил - что, Вы серьёзно предлагаете, чтобы полупрофессиональная
SN>> рок-группа из Москвы судилась с международной организацией,
SN>> дисцлоцированной в Лондоне, после того, как её сайт выключили бы по
SN>> письму, отправленному автоматическим роботом, неадекватно обработавшем
SN>> MP3-файл?)
VN> Есть такое слово "обоснованный". Ест., что каждый воспринимает его
VN> по-своему (даже суды). Но если у кого-либо перед собой пустой
VN> лист бумаги с единственным словом "убери", то, обычно, у
VN> здравомыслящего человека сомнения о том, что делать, не возникают.
Ага. Но в приведённом мною примере, если бы владелец сайта не был моим
партнёром и я не знал бы его лично - мог бы и счесть, что претензии
IFPI обоснованы и закрыть сайт.
VN> В других, более распространенных ситуациях, жалобщик довольно подробно
VN> описывает, кто он и почему что-либо нарушает его права и абсолютно не
VN> возражает, когда у него хотят получить дополнительные материалы.
Что характерно, противная сторона обычно не сидит молча, а приводит
свои аргументы и материалы.
Вопрос - а нафиг, собственно мне разбираться, у кого из них
дополнительные материалы правомерны?
Может это всё-таки дело суда?
SN>> - считаете ли Вы, что любое сообщение, которое может быть кем-либо
SN>> сочтено "оскорблением женщин", должно на этом основании удаляться
SN>> провайдером по письму, того, кто это сочтёт? Принимаете ли Вы во
SN>> внимание, что понятия об оскорбительности могут быть существенно
SN>> разные для представителей разных культур и религиозных традиций?
VN> По-моему, дискуссия ушла совершенно в сторону. Но это тоже важный
VN> момент, правда, отвечать на него я не буду. Если у кого-то возникнет
VN> желание приблизится к истине (на которую я сам не претендую), позволю
VN> порекомендовать следующее.
VN> Пусть заинтересованное в решении данной проблемы лицо
VN> походит с девушкой по местам развлечений. С позиций статистики
VN> наступит момент, когда к ней кто-либо с чем-либо обратиться. Далее
VN> данному лицу желательно выяснить реакцию девушки и провести с ней
VN> беседу о разнообразии жизни и о традициях в общении с женщиной
VN> в разных странах и во время разных исторических
VN> периодов. Затем названный комплекс походов надо повторить с другой
VN> девушкой. И т.д. Спустя некоторое время у заинтересованного лица
VN> возникнет неплохая база для социологического исследования, конечно,
VN> если к тому времени ему будет с кем ходить.
Т.е. Вы ушли от ответа в правой плоскости в общеморальные рассуждения.
Ваше право, но давайте не будем подменять юридические аргументы
моральными. По данному пункту констатирую, что юридических оснований
удалят 'оскорбления женщин' у провайдера не усматривается.
Что касается культурных различий и морали, то и здесь Вы, скажем, так,
неубедительны. С десяток моих знакомых сочтут публичное высказывание
о себя что мол 'она замечательно #$тся' комплиментом, с десяток -
оскорблением. Что, провайдер с девушкой должен интервью проводить по
каждому случаю?
SN>> Не хочу обидеть, но и Вы и Андрей Минков почему-то уводите разговор
SN>> в сторону каждый раз, как начинаются конкретные примеры ситуаций.
SN>> Мне кажется, что это свидетельствует о слабой обоснованности Ваших
SN>> позиций.
VN> А мне кажется, не имея никакого желания сделать аналогичное,
VN> что Вы постоянно меняете условия примеров и невнимательно
VN> читаете мои ответы.
Я привел три конкретных примера.
Условий не менял - просто приводил новые.
Получил пока что от Вас ответ на 1 и то не полно, без обсуждения
конкретной ситуации, в которой я отказался.
Не будем делать неточных утверждений, ага?
VN> Причем, в своем последующем письме от Date: Mon, 16 Dec 2002 09:17:37 +0300
VN> Вы пишете:
VN> "Я уже писал о том, что для веб-сайтов и форумов, которые
VN> открываются анонимно вопрос де-факто вообще не стоит -
VN> если не верите, можете поставить эксперимент. Сами сделайте порочущую
VN> себя страничку на каком угодно бесплатном хостинге от чужого имени,
VN> а потом шлите письмо владельцу хостинга с претензиями.
VN> Такие страницы закрываются без проблем в соответствии с принятыми
VN> полиси."
VN> Что совпадает с моим ответом в самом начале дискуссии
VN> (Date: Sat, 14 Dec 2002 00:55:17 +0300)
VN> "С моей точки зрения, особо должен быть рассмотрен случай, когда
VN> "поливание грязью" происходит анонимно, т.е., имеет место ситуация,
VN> когда владелец ресурса не смог предоставить информацию о лице(-ах),
VN> оставивших соответствующие сообщения. На самом деле, это 90 процентов
VN> публикаций на всех досках, чатах, гостиных, ... А владелец таковых
VN> становится ответственным за последствия использования собственного
VN> ресурса."
Это Вы невнимательно читаете.
Я пишу о сложившейся практике - Вы же о юридической ответственности.
У Вас получается, что если владелец форума не засек IP-адрес
отправителя, то за чужой базар он и ответмт, в то время, как максимум
что от него можно потребовать - это убрать сообщение у которого не
известен автор.
Я уж молчу о том, что на самом деле любые утверждения владельца форума
об IP-адресах авторов сообщений будут юридически ничтожными, если
только форум как аппаратно-программный комплекс не сертифицирован
минсвязи :)))
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 11:40:18 +0300
From: Serge Nesterovitch
Subject: Re: Information Society Provider Liability
Hello Victor,
>>> "С моей точки зрения, особо должен быть рассмотрен случай, когда
>>> "поливание грязью" происходит анонимно, т.е., имеет место ситуация,
>>> когда владелец ресурса не смог предоставить информацию о лице(-ах),
>>> оставивших соответствующие сообщения. На самом деле, это 90 процентов
>>> публикаций на всех досках, чатах, гостиных, ... А владелец таковых
>>> становится ответственным за последствия использования собственного
>>> ресурса."
SZR>> Хммм... Все время происходит смена понятий. Владелец ресурса или провайдер?
VN> Нет! Мы рассматривали общую проблему ответственности информационного провайдера
VN> (посредника). Он м. являться владельцем Веб-сайта, Веб-доске к-го что-то
VN> пишут, м.б. провайдером доступа или хостинг-провайдером, владельцем
VN> общедоступной библиотеки, на к-й что-то автоматически публикуется...
Тема провайдеров возникла после того, как по ходу разговора всплыло,
что случаи, когда владелец ресурса - одновременно провайдер
с юридической точки зрения несколько отличаются от того,
когда - нет.
--
Best regards,
Serge mailto:felix@
------------------------------
Date: Tue, 17 Dec 2002 12:03:29 +0300
From: "pav_s99"
Subject: =?koi8-r?Q?=CC=C9=C3=C5=CE=DA=C9=D1=20=CE=C1=20=D5=D3=CC=D5=C7=C9=20=D3=D7=D1=DA=C9?=
Уважаемые коллеги,
Вопрос наболевший 8) и, похоже, не вполне очевидный из действующего законодательства. Подскажите, пожалуйста, нужна ли лицензия на оказание услуг связи бизнес-центру, сдающему в аренду свои помещения и, ессно, предоставляющему арендаторам подключение к те
ефону и к интернету? Какая может быть мотивация в защиту безлицензионной работы?
Спасибо.
Савицкий Павел.
------------------------------
Date: Tue, 17 Dec 2002 12:19:26 +0300
From: Serge Nesterovitch
Subject: =?koi8-r?B?UmU6IFtuZXRsYXdzXSDMycPFztrJ0SDOwSDV08zVx8kg09fR2sk=?=
p> Вопрос наболевший 8) и, похоже, не вполне очевидный из действующего законодательства.
p> Подскажите, пожалуйста, нужна ли лицензия на оказание услуг связи бизнес-центру, сдающему в аренду свои
p> помещения и, ессно, предоставляющему арендаторам подключение к телефону и к интернету?
Не нужна. Но Вам всё равно придётся сдавать своё узел связи госсвязьнадзору.
Правда, в упрошённом порядке, установленном для таких случаев
министерством (номер приказа, увы, не помню).
p> Какая может быть мотивация в защиту безлицензионной работы?
Статья 15 Закона о связи РФ
Лицензирование деятельности в области связи
[...]
Лицензии не требуются в случаях, если сеть:
- имеет внутрипроизводственное или технологическое назначение;
[...]
-сосредоточена в одном комплексе помещений или нескольких
комплексах, примыкающих друг к другу, либо
установлена на автотранспортном средстве,
судне, самолете или другом виде транспорта.
Понятия "комплекс помещений" и "примыкания"
можно выяснить на основании соответствующих СНиПов,
если я правильно поним