Jak funguje internet? A proč je Babišův blacklist nesmysl?
Ministerstvo financí prosadilo minulý rok zákon o hazardních hrách. Ten má omezit hazardní hry na území ČR. Což o to, takový návrh asi není nic proti ničemu, já osobně považuji hazard na úrovni hracích automatů za zlo a nebyl bych proti, aby byly úplně zakázány, je tu ale jedno obrovské ALE. Zákon se totiž vztahuje také na internetové stránky provozující hazard. Na tom koneckonců také není nic špatného. Problém je ale v tom, že spolu se zákonem přichází tzv. blacklist. Nebo-li seznam stránek, které ministerstvo financí považuje za nezákonné a takovou stránku musí provozovatelé internetové připojení (dále jen ISP) zablokovat. Začněme už tím, že o tom, jestli stránka je nebo není nelegální hazard bude rozhodovat úředník na MF, nikoliv nějaký nezávislý soud. To je ovšem ten asi nejmenší problém.
Ten základní problém je už v samotné podstatě tohoto nápadu. ISP se pochopitelně ptají "a jak to máme asi udělat?". Andrej Babiš se z role světového podnikatele, ekonoma a politika převtělil také do role znalého ajťáka a doporučil jim použít DNS blokaci. Hahaha. Jestli je pan Babiš stejný ekonom jako ajťák, tak potěš pánbůh. Pojďme si v hodně velké zkratce vysvětlit, jak funguje internet
Otevřete prohlížeč, zadáte do adresního řádku www.google.com a vyběhne nějaká stránka. Jak se to stalo? Prohlížeč předá adresu www.google.com vámi používanému DNS serveru (o tom později). Ten se na adresu koukne a zjistí, že doména google.com odkazuje například na server s adresou 216.58.205.132. Váš počítač tedy odešle na server 216.58.205.132 určitý dotaz. A server mu odpoví tím, že mu vrátí požadovaný HTML kód webové stránky, který váš prohlížeč vykreslí tak, jak ho znáte. Jednodušeji řečeno, vás počítač odešle dotaz na server, na kterém leží Google a ten mu vrátí webovou stránku. A co tedy přesně dělá ten DNS server?
DNS server převádí doménu (www.google.com) na IP adresu serveru (216.58.205.132), ke kterému se má počítač připojit. Jen si zkuste adresu 216.58.205.132 dát do adresového řádku. Automaticky vás přesměruje na Google. DNS serverů ovšem existuje velká spousta. Ten, který je provozován vaším ISP je obvykle ten, který používáte. A ten může ISP ovlivnit tím, že řekne, že po zadání adresy stránky , která je na blacklistu, do prohlížeče, prohlížeči prostě neřekne, na jakou IP se má připojit a bude se tvářit, že taková doména neexistuje. Jenže, o provozovatelích pouze DNS se v zákoně nemluví. A to ani nemluvím o tom, že jeden z nejpoužívanějších DNS serverů je provozován přímo Googlem na mezinárodní úrovni. Jinými slovy, nikdo mě nenutí používat DNS server mého poskytovatele internetu, ergo mi nikdo nebrání v používání DNS serveru, na kterém je blacklistová stránka povolená.
Toť k DNS blokaci. Další nápad ministerstva byla blokace na úrovni firewallu. Ta je nesmyslná už jenom proto, že by s ní uživatel musel přímo souhlasit. Deep Packet Inspection, jako další navrhovaná možnost, jaksi nepočítá s tím, že spousta webových stránek používá šifrované připojení HTTPS, na které je DPI krátké a navíc by to bylo nákladné řešení. Dalším řešením je blokování IP adres. Pěkný nápad, ale opět nedává smysl. Dejme tomu, že zablokujeme připojení k IP adrese některého webového portálu. To znamená, že se "legálnost" webu bude kontrolovat až po tom, co DNS odešle IP adresu, nikoliv před tím, jako v případě DNS blokace. I tady je ovšem celkem snadno dosažitelný způsob obejití. Proxy.
Před chvílí jsem psal, že náš počítač odešle dotaz na server a ten mu v odpovědi vrátí webovou stránku. Proxy server dělá to, že mezi nás a server vloží ještě jeden mezičlánek. Jinými slovy, místo toho, abychom odeslali dotaz přímo na server, odešleme dotaz mezičlánku a ten ho odešle na server. Jemu server vrátí odpověď a ten ji následně přepošle nám. V čem je výhoda? ISP v takové chvíli netuší, na jakou stránku se člověk přihlašuje. Já tak mohu serveru, ležícímu například v Nizozemsku, poslat dotaz, který chci poslat na stránku, která je na blacklistu. Nizozemský server ho odešle a vrátí nám jeho odpověď. ISP má ale informaci pouze o tom, že jsme se přihlásili k serveru do Nizozemska, to, že ten server se na náš popud přihlásil na zakázaný server, to už ISP nezjistí. Tudíž ho nemá jak zablokovat. Mimochodem, tento způsob by pomohl i v případě DNS blokace uvedené v prvním případě. A víte, co je na této metodě naprosto nejzábavnější? Že prohlížeč Opera od verze 38 proxy (vydávanou za VPN) přímo implementovala a stačí ji pouze zapnout. V takovém případě potom přihlášení na ilegální web, tedy obejití ochrany MF, v Opeře zabere asi tak 10 vteřin a podle návodu to zvládne i cvičená opice. A MF, Andrej Babiš, ani nikdo jiný s tím nic neudělá.
Perlička na konec. MF vydalo metodickou příručku, jak budou zveřejňovány informace z blacklistu. Cituji
Dokument PDF...strojově čitelný formát. Dva pojmy, které normální člověk nemůže říct v jedné větě, jiné než "PDF není dobře strojově čitelný formát". Je to zhruba stejné, jako kdybyste chtěli jet z Prahy do Bratislavy traktorem. Jde to, ale je to jedno z nejméně praktických možností a využije to jen člověk, co nemá jinou možnost. Tady je možností spousta, od XML po JSON.
No, z toho všeho vidíme, jaké máme ve vládě IT experty. Nejen, že Babiš a jeho poskoci nechápou, jak funguje internet. Dokonce mají tu drzost ještě radit expertům z ISP, jak to mají udělat. Babiš a celé jeho MF a ANO snížilo tímto zákonem mou důvěru v jejich schopnosti z 0 na -100. Jak má člověk důvěřovat institutu, který je schopen vytvářet nesmysly? Které nemohou v životě fungovat? Když vidím, jak se vyznají v IT, říkám si, kde mám jistotu, že se úplně stejně mizerně nevyznají i v ekonomice státu?
Ten základní problém je už v samotné podstatě tohoto nápadu. ISP se pochopitelně ptají "a jak to máme asi udělat?". Andrej Babiš se z role světového podnikatele, ekonoma a politika převtělil také do role znalého ajťáka a doporučil jim použít DNS blokaci. Hahaha. Jestli je pan Babiš stejný ekonom jako ajťák, tak potěš pánbůh. Pojďme si v hodně velké zkratce vysvětlit, jak funguje internet
Otevřete prohlížeč, zadáte do adresního řádku www.google.com a vyběhne nějaká stránka. Jak se to stalo? Prohlížeč předá adresu www.google.com vámi používanému DNS serveru (o tom později). Ten se na adresu koukne a zjistí, že doména google.com odkazuje například na server s adresou 216.58.205.132. Váš počítač tedy odešle na server 216.58.205.132 určitý dotaz. A server mu odpoví tím, že mu vrátí požadovaný HTML kód webové stránky, který váš prohlížeč vykreslí tak, jak ho znáte. Jednodušeji řečeno, vás počítač odešle dotaz na server, na kterém leží Google a ten mu vrátí webovou stránku. A co tedy přesně dělá ten DNS server?
DNS server převádí doménu (www.google.com) na IP adresu serveru (216.58.205.132), ke kterému se má počítač připojit. Jen si zkuste adresu 216.58.205.132 dát do adresového řádku. Automaticky vás přesměruje na Google. DNS serverů ovšem existuje velká spousta. Ten, který je provozován vaším ISP je obvykle ten, který používáte. A ten může ISP ovlivnit tím, že řekne, že po zadání adresy stránky , která je na blacklistu, do prohlížeče, prohlížeči prostě neřekne, na jakou IP se má připojit a bude se tvářit, že taková doména neexistuje. Jenže, o provozovatelích pouze DNS se v zákoně nemluví. A to ani nemluvím o tom, že jeden z nejpoužívanějších DNS serverů je provozován přímo Googlem na mezinárodní úrovni. Jinými slovy, nikdo mě nenutí používat DNS server mého poskytovatele internetu, ergo mi nikdo nebrání v používání DNS serveru, na kterém je blacklistová stránka povolená.
Toť k DNS blokaci. Další nápad ministerstva byla blokace na úrovni firewallu. Ta je nesmyslná už jenom proto, že by s ní uživatel musel přímo souhlasit. Deep Packet Inspection, jako další navrhovaná možnost, jaksi nepočítá s tím, že spousta webových stránek používá šifrované připojení HTTPS, na které je DPI krátké a navíc by to bylo nákladné řešení. Dalším řešením je blokování IP adres. Pěkný nápad, ale opět nedává smysl. Dejme tomu, že zablokujeme připojení k IP adrese některého webového portálu. To znamená, že se "legálnost" webu bude kontrolovat až po tom, co DNS odešle IP adresu, nikoliv před tím, jako v případě DNS blokace. I tady je ovšem celkem snadno dosažitelný způsob obejití. Proxy.
Před chvílí jsem psal, že náš počítač odešle dotaz na server a ten mu v odpovědi vrátí webovou stránku. Proxy server dělá to, že mezi nás a server vloží ještě jeden mezičlánek. Jinými slovy, místo toho, abychom odeslali dotaz přímo na server, odešleme dotaz mezičlánku a ten ho odešle na server. Jemu server vrátí odpověď a ten ji následně přepošle nám. V čem je výhoda? ISP v takové chvíli netuší, na jakou stránku se člověk přihlašuje. Já tak mohu serveru, ležícímu například v Nizozemsku, poslat dotaz, který chci poslat na stránku, která je na blacklistu. Nizozemský server ho odešle a vrátí nám jeho odpověď. ISP má ale informaci pouze o tom, že jsme se přihlásili k serveru do Nizozemska, to, že ten server se na náš popud přihlásil na zakázaný server, to už ISP nezjistí. Tudíž ho nemá jak zablokovat. Mimochodem, tento způsob by pomohl i v případě DNS blokace uvedené v prvním případě. A víte, co je na této metodě naprosto nejzábavnější? Že prohlížeč Opera od verze 38 proxy (vydávanou za VPN) přímo implementovala a stačí ji pouze zapnout. V takovém případě potom přihlášení na ilegální web, tedy obejití ochrany MF, v Opeře zabere asi tak 10 vteřin a podle návodu to zvládne i cvičená opice. A MF, Andrej Babiš, ani nikdo jiný s tím nic neudělá.
" Není pravda, že jsou tam obrovské náklady na ty blokace. Jestli existuje nějaký podrobný návod, jak to obejít, my o tom nevíme. Pokud je takový návod, tak fajn potom. Kde je tedy problém? Potom to, co navrhujeme, pokud to někdo říká, my si myslíme, že není takový návod, že to je dezinformace. To se samozřejmě ukáže." - Andrej Babiš
Perlička na konec. MF vydalo metodickou příručku, jak budou zveřejňovány informace z blacklistu. Cituji
Údaje ze Seznamu budou zveřejňovány v otevřeném a strojově čitelném formátu, a to ve formě dokumentu .pdf s textovou vrstvou.
Dokument PDF...strojově čitelný formát. Dva pojmy, které normální člověk nemůže říct v jedné větě, jiné než "PDF není dobře strojově čitelný formát". Je to zhruba stejné, jako kdybyste chtěli jet z Prahy do Bratislavy traktorem. Jde to, ale je to jedno z nejméně praktických možností a využije to jen člověk, co nemá jinou možnost. Tady je možností spousta, od XML po JSON.
No, z toho všeho vidíme, jaké máme ve vládě IT experty. Nejen, že Babiš a jeho poskoci nechápou, jak funguje internet. Dokonce mají tu drzost ještě radit expertům z ISP, jak to mají udělat. Babiš a celé jeho MF a ANO snížilo tímto zákonem mou důvěru v jejich schopnosti z 0 na -100. Jak má člověk důvěřovat institutu, který je schopen vytvářet nesmysly? Které nemohou v životě fungovat? Když vidím, jak se vyznají v IT, říkám si, kde mám jistotu, že se úplně stejně mizerně nevyznají i v ekonomice státu?
Komentáře
Okomentovat