"elérhetetlenné tette a magyar hatóság a Polymarketet" - Technikailag hogyan?

Hálózatok egyéb

Technikailag érdekel, hogy mikor minden hazai szolgáltatónak saját nemzetközi kapcsolatai, útvonalai vannak, akkor technikailag hogyan oldja meg egy hatóság, hogy egy adott site elérhetetlen legyen az egész országból - ilyen gyorsan?

https://qubit.hu/2026/01/19/maris-elerhetetlenne-tette-a-magyar-hatosag-a-polymarketet-tiltott-szerencsejatek-szervezese-miatt

(Mellesleg traceroute végigmegy, IP szinten OK, csak a website "connection reset")

  • 4641 megtekintés

Jah, kb a hatóság körbeküldi a parancsot az összes magyar szolgáltatónak, azok meg ugranak a szóra, és 1 órán belül kész a blokkolás. Nem új dolog ez már, ld. a nemzetközi kaszinós és szerencsejáték oldalak blokkolása volt kb. a legismertebb módszer, szóval a folyamat már szépen ki van dolgozva.

Mivel a BGP alapvetően behirdetés alapján működik, igen. De érdemes lenne elolvasni a dokumentációt.

 

4.1 Forgalom elterelés és tartalom vizsgálat alapú hozzáférhetetlenné tétel 

Ezt a módszert az EU számos országában alkalmazzák (pl. Egyesült Királyság), különböző műszaki-hálózati megvalósításokkal. A módszer lényege, hogy az elektronikus adat IP címére irányuló forgalom – hálózati protokollok segítségével (pl.: BGP) – egy külön hálózati szegmensbe kerül átirányításra, amely szegmensben céleszközök (DPI szerverek) végzik el a forgalom részletes vizsgálatát, és kizárólag a bírósági, vagy hatósági határozatban megnevezett URL-ekre és cél-portokra irányuló lekérések esetén történik meg a tájékoztató oldalra történő átirányítás. Ezen módszer hatékonysága – a megkerülő technikák elérhetősége mellett is – megfelelő, mivel kellő pontossággal azonosítja a hozzáférhetetlenné tételre rendelt elektronikus adatot, és minimális járulékos hatásokkal rendelkezik.

Ezt a szekciót keresd meg, és ott van a kép hozzá, hogy ez hálózatilag hogy néz ki (pont ez alatt a szöveg alatt, a kövekező oldalon). Nem történik szexualizálás, normál BGP routing történik. Pontosabban, a "jelzés" technikailag maga a BGP routing változási hirdetés, és ennek ez is a lényege, hogy késedelem nélkül azonnal le tudjon kapcsolni egy káros oldalt. Nem csak a szerencsejáték lehet ilyen, de pl a gyerekpornót megjelenítő weboldalak is.

https://nmhh.hu/upload/NMHH_muszaki_ajanlas_elektronikus_adatok_hozzafe…

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

azért ez simán kiönti a fürdővízzel a gyereket, gondolj pl azokra ahol egy IP mögött fqdn alapján sok szolgáltatás van vagy bérelt felhős gép ugráló IP-vel és akkor a szolgáltató tartománya ráadásul a tudta nélkül tele lesz tiltott IP-kkel amit utána boldogan kioszt másik előfizetőnek, stb.

Ha az SNI cleartextben megy (a TLS 1.3 sem követeli meg ennek ellenkezőjét), az NMHH tudja/tudhatja, hogy milyen site-ot akarsz megnézni az adott IP-n. Ezért is van ott egy DPI (Deep Packet Inspection) doboz, ami belenéz a protokollba, és nem csak bután elhajítja a kapcsolatot.

És legtöbbször cleartextben megy. (de lásd ESNI, ECH - Encrypted Client Hello stb)

BTW, egy ismerősöm barátjának macskaszittere hallotta, hogy valaki az utcán telefonon említette másvalakinek, hogy amikor erről ment az egyeztetés az NMHH-val (mert eredetileg a DPI URL szinten is képes kellett legyen blokkolásra, akkor még ilyen kuruc.info/xyz oldalakat), és megkérdezte -mint ISP-, hogy az SSL-be mégis hogyan fognak belelátni URL (path) szinten, egy mosolygás keretén belül csak annyi volt a válasz, hogy "ez nem a ti problémátok".

Nagyjából erre gondolok, én nem hiszek abban, hogy nálunk létezik efféle befolyás. Kellemes csalódás lenne, ha tévednék.

We do not have the need to know, hogy pontosan fogalmazzak. Akinek ez megvan, az teljesít( és nem lacafacázik.

(Knock-knock - ki az? - mi érted jöttünk, nem ellened...)  ;ˆ))

Azért azt tegyük hozzá hogy az SNI-t egyáltalán nem nehéz szűrni, az encrypted SNI-t meg csak számítási teljesítmény kérdése (és nem annyira nagy teljesítmény kell egy sima blacklisthez)

A magyar szűrés műszakilag pont nagyon alacsony false-pozitívval megy tapasztalataim szerint, de én csak end-user vagyok, nem látok bele sem a szolgáltatói sem a szűrő oldali részébe.

Magyarországon egyébként a hosting szolgáltatók, bérelt vonalak nincsenek is szűrve, tehát egy magyar szerverteremben lévő VPS-ről minden trükk nélkül eléred a tiltott oldalakat is. Szerintem ez is korrekt, nem a totális kontroll a cél, hanem az internetező tömegek számára elérhetetlenné tétellel az illegális üzleti modellek ellehetetlenítése.

Lehet igaz, csak ott a nagy tévedés, hogy ebbe mindenki technikai (TLS törő, main in the middle proxy stb) megoldást vízionál.

Pedig a probléma és a megoldás is valójában jogi természetű.

A forgalmasabb weboldalak (de még sok kissebb is, DDoS protection miatt) valamilyen CDN szolgáltatón keresztül lesznek elérhetők. 

A nagy CDN szolgáltatóknak vannak hazai edge szervereik. 

Ami egy Mo.-on bejegyzett jogi entitás tulajdonában van.

Tehát vonatkozik rájuk az NMHH joghatósága.

Innentől elég egyszerű az URL path szintű tartalomblokkolás. Semmi TLS-be benyúlási mágia nem kell hozzá.

Ha meg nincs CDN a játékban, akkor marad a BGP-s módszer és nincs urlpath szintű felbontás.

Régóta vágyok én, az androidok mezonkincsére már!

Nem állítom, hogy jogilag teljesen lehetetlen volna (ennyire nem vagyok benne a nemzetközi jogban és a hazai Ptk vonatkozó részével szerencsére eddig nem kellett közelebbi kapcsolatba kerülnöm), de mondjuk hogy szerződik le az Alphabet Inc. Mountain View California, Googleplex Road 1-3. Tax Reg#351... a Victor Hugoban rack helyet bérelni? Hazai jogi személy nélkül "kicsit" komplikált tud lenni nagyon sokminden...

Régóta vágyok én, az androidok mezonkincsére már!

Miért, te hogy szerződsz le az Amazon Inc.-cel számítási kapacitást bérelni? Vagy hogyan szerződsz le az Apple Inc.-cel felhőtárhelyet bérelni?

Na, pont úgy. A világon semmi köze nincs egy random hostingnak ahhoz, hogy az ügyfél cége hol van, ameddig az ügyfél elfogadja és fizeti a magyar szabályoknak megfelelő számlát. Nem vagy köteles magyar cégként kizárólag magyar cégekkel szerződni. Az elég szar lenne gazdaságilag. Ráadásul, neked az ügyféltől nem kell semmilyen a cégre vonatkozó bármilyen akármit megkövetelned. El kell fogadja a szerződési feltételeket, alá kell írja a szerződést, és fizetnie kell. Az adózást te intézed szolgáltatóként, a szolgáltatás jogszerű üzemeltetéséért te felelsz, ha a felhasználó (cég) bármilyen helyi törvénybe ütközőt csinál, azért szintén te felelsz, max áthárítod a dolgot. Nincs effektíve jogi semmi, ami téged megakadályozna egy timbuktui céggel is szerződni akár. Nyilván kockázat, de attól még megteheted.

A nagy cégek helyi leánycégei pedig nem azért léteznek, hogy a felhasználók leszerződjenek velük, hanem azért, hogy a helyi munkatársak számára legális munkáltatók lehessenek, plusz esetleges jogi csűrcsavar esetén képviselhessék az anyacéget. Esetleg biztosítsanak helyi ügyfélszolgálatot. De a felhasználókkal kötött szerződésekhez a világon semmi közük nincs.

Ami extra, hogy a kinti cégnek ismernie kell, és el kell fogadnia a hazai jogi szituációkat. Ha van olyan része a szerződésnek, ami nem komfortos neki, akkor el kell döntenie, hogy vállalja az együttélést ezzel, vagy keres más szolgáltatót.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Én mondjuk inkább a fordított irányról beszélek (itt a külföldi big tech a "felhasználó"), de ettől függetlenül OK, elfogadom. 

Viszont a szerverek maguktól azért nem gurulnak be a terembe és kábelezik be magukat (legalábbis most még...), szóval valószínűleg 1-2 "on-site" alkalmazottjuk kell legyen, akik rotációban ügyeletben vannak, ha fizikailag hozzá kell nyúlni bármihez. Persze ki lehet adni ezt is helyi vállalkozónak, csak szerintem azt security szempontból nem nagyon merik megjátszani, hogy egy országban a teljes fizikai infrájukat úgy húzza fel valaki 3. fél, hogy saját alkalmazottjuk sose látta. Még lehetséges variáció az, hogy a kezdeti setupnál és később baj esetén mondjuk Bécsből idekocsikázik valaki... de a béreket figyelembe véve, inkább a fordított irányt tartom reálisnak.

De tldr: elfogadom meg lehet oldani helyi leánycég nélkül, csak jár egy csomó nehézséggel.

Régóta vágyok én, az androidok mezonkincsére már!

"elfogadom meg lehet oldani helyi leánycég nélkül, csak jár egy csomó nehézséggel"
Nagyon sok nehezseggel jar, de ez az ut. A remote hands/smart hands minosege mondjuk ugy nagyon "valtozatos".
Az egyetlen megoldas a nagyon reszletes es szajbaragos dokumentacio.
Ettol fuggetlenul nem lenne gazdasagos minden PoP melle 1-2 FTE.
 

Erről tudnék sztorizni. Saját cégünk rackjei egyben, Finnországból ideszállíttatva. Állítólag kifejezetten ilyenre specializált céggel.

Volt ami "karambolosan" jött meg. A gépek nagyrészt menthetőek voltak benne, előlapjuk sérült volt. De szét kellett szedni és átrakni másik rackbe. Volt ami sárosan jött meg. Mikor magyarázatot követeltünk, azt mondták valahol útközben le kellett pakolni a gépeket a kamionról (miért?!), ott történt a baj. Az volt a "szerencse", hogy már kinn selejtezésre szánt gépek voltak, amiknek mi még akartunk egy második életet adni. Szóval nem volt akkora a kárérték, mintha vadonatúj gépek lettek volna.

Régóta vágyok én, az androidok mezonkincsére már!

azért egy mai új szerver nem kevés lóvé - még akkor sem, ha nincsen rendesen "felpimpelve". Ebből van egy rack-ben mondjuk 10.
Milyen összegről beszélünk? 50miila? több?
Nem hiszem, h lenne olyan szállítmányozó, aki ilyen érték(biztosítás) mellett vállalható áron fuvarozza egyben a rack-et.
Ennél már az is olcsóbb, ha 2 mérnök beül a SUV-ba és átviszi a gépeket A->B és ott összerakja. Szerintem.

Egy ilyen rack semmit sem ér műtárgyakhoz képest pl. Bőven sokkal-sokkal nagyobb értékre is vállalnak biztosítást és szállítják őket.

Az Amazon is megoldja ugyanígy. Hidd el, van az a pénz, amkor ez megéri.

... azért megnézem a SUV-ot amikor átmegy 2 országon... hidd el, az a SUV sokkal kevésbé biztonságos, és végtelenszer nagyobb a kockázat benne, mint erre képzett szállítmányozókat fizetni. Már ott kezdődik, hogy (a szállítmány értékének megfelelően) biztonságosan le se tudsz zárni egy SUV-ot. Tudom, hogy baromságnak hangzik a páncélautó, de nem véletlenül létezik. Ha nem is ilyenekben, de hasonló biztonságú járműben kell az ilyen értékű motyót szállítani. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

"Bőven sokkal-sokkal nagyobb értékre is vállalnak biztosítást és szállítják őket."
Persze, mindenre ad valaki biztositast, de itt a lenyegi kerdes, hogy megeri-e.
Ha belegondolsz egy server/router/switch/rack "gyarilag" viszonylag kommersz szallitasi korulmenyeket igenyel, ehhez kepest egy tele rakott rack mar sokkal specialisabb.


 

Alapvetően többféle megoldás létezik erre a problémára.

  1. Bérelhetik is a hardvert. Lényegében ilyenkor kapsz egy űres vasat meg egy KVM-et, amin keresztül be tudsz csatolni bármilyen ISO-t, oldd meg. Külföldön vannak olyan rendszerek, hogy literálisan akármilyen gépet meg tudnak így csinálni (server4you pl ilyen, csomó olyan vasuk van, ami alapból nem tudna pl IPMI-t/iLO-t/stb). Vannak olyan hostingok, ahol össze is rakhatod magadnak a gépet (adot alkatrészkészletből).
  2. Az eggyel szofisztikáltabb ugyanez, IPMI-vel.
  3. Megvehetik helyileg a szervert, kiszállíttatják a terem címére, beszereltetik az operátorral. Nem mindenütt lehet ilyet, de biztos vagyok benne, hogy elég nagy ügyfél tud ilyet kérni.
  4. Megbízhatnak egy helyi céget a fullos helyi üzemeltetéssel. Lényegében nem leányvállalatot csinálnak, hanem egy külsős cégtől outsoucolnak emberekt. Mivel ez effektíve nem foglalkoztatás, hanem szolgáltatás-igénybevétel, még mindig nem kell helyi leány.

Amúgy, a távmenedzsmentes gépeknél az a jó, hogy a terem operátoron kívül senkinek se kell hozzányúlnia helyileg, neki pedig meg tudod mondani, melyik kábelt dugja be a hova. Tud szopás lenni, ha mellédugja, de bőven kezelhető.

Onnantól távmenedzsmenten keresztül akár Timbuktuból is fel lehet telepíteni a gépet. Oké, a latency vicces lesz.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

"... megkérdezte -mint ISP-, hogy az SSL-be mégis hogyan fognak belelátni URL (path) szinten, egy mosolygás keretén belül csak annyi volt a válasz, hogy "ez nem a ti problémátok"."

Ha lehetséges lokális hálózaton valid SSL-t használni (pl.: https://192.168.1.1/) akkor bármilyen címre is meg lehet tenni ugyan ezt. Akinek megvan egy másik valid SSL azzal hirdeti magát: Server -> Server SSL -> NMHH client -> clerartext -> NMHH SSL -> Client

Amit nem lehet, hogy mindezt teljesen észrevétlenül tegye, mert akinek átirányítás előtt megvan a Server SSL az meg tudja nézni, hogy az új NMHH SSL nem azonos a régebbivel.

Nem magát az SSL titkosítást kell feltörni, csak egyszerűen arra címre kell generálni egy aláírt kulcspárt amit ki szeretnének bontani. Ha megvan az aláírás, akkor ugyan úgy be fog zöldülni, mint az eredeti. A kettő között meg ott a proxy-nak a titkosítatlan tartalom.

 

Ha egy nyomtató, router, akármi más "bezöldül" lokális címmel, akkor bármilyen más cím is bezöldülhet ...

Jaja, meg minden tanúsító elé egy komplett sajátot kell rakni, hogy amikor a crl, ocsp kérések beérkeznek, meg a tanúsítványtárból letöltögetik a tanúsítványokat (pl. mert saját egyedi tanúsítványtárakat használjanak az alkalmazások), akkor az nmhh generált jöjjön le. De lehet azt is, hogy a publikus kulcshoz generálunk egy másik érvényes privát kulcsot... :D

Persze, csak ehhez kell egy együttműködő CA, akinek a cacertje benne van az összes böngésző és OS platform truststore-jában, és ez a CA ki kell hogy állítson egy hamisított server certet az NMHH számára.

Namost, ha ezt történetesen egyszer tényleg kijátsszák, az a CA utána nem sokáig fog a böngészők truststorejában maradni...

Kiváncsi vagyok melyik hazai CA vállalja be, hogy egy egyszeri alkalomért az egész CA bizniszét elbukja örökre...

Régóta vágyok én, az androidok mezonkincsére már!

Akkor nevezzük nevén a gyereket. Ha a Netlockra gondolsz akkor nem azért dobták ki, hanem azért, mert nem jelentettek időben dolgokat többszöri felszólításra sem. A cég és a böngészők gittegylete közötti kommunikáció nyilvánosan elérhető. Megjegyzem, a google ennél nagyságrenddel nagyobb problémákat csinált, de őket valahogy nem dobták ki, milyen meglepő.

"Persze, csak ehhez kell egy együttműködő CA, akinek a cacertje benne van az összes böngésző és OS platform truststore-jában, és ez a CA ki kell hogy állítson egy hamisított server certet az NMHH számára."

Ez hogyan működik lokális hálózaton?

Nem hiszem, hogy minden egyes nyomtatóhoz, routerhez meg IOT kügyühöz IP cím változáskor végig futna a CA cert, hogy a 192.168.1.1 címhez valid CA által ellenőrzött SSL tanúsítvány legyen. Ami egy másik hálózaton meg egy másik gyártó másik eszköze azonos címmel. Az interneten elméletileg ilyen nem fordulhat elő. Gyakorlatilag meg az átirányítós eltérítéssel épp ez történik, hogy kanadában a polymarket nem ugyan oda vezet mint nálunk. Hasonló mint egy magyar meg kanadai nyomtató azonos lokális címmel.

Arról már ne is beszéljünk, hogy IPv6 címzésnél nem is feltétlenül van az okos égőnek lokális címe.

"hogy az SSL-be mégis hogyan fognak belelátni URL (path) szinten, egy mosolygás keretén belül csak annyi volt a válasz, hogy "ez nem a ti problémátok"."

 

Ja, ez jó duma. A macskaszitter barátjától hallotta egy ismerősöm unokája - aki 5 éves szóval azt sem tudja miről beszél valószínűleg - hogy az NMHH-nál hogyan kerülnek fel a "blacklistre" azok az IP címek amiket BGP-n kihirdetnek a szolgáltatók felé. Hát mondjuk úgy, hogy a szofisztikálttól nagyon messze van, és felvet aggályokat. Szóval azt hallucinálta ez az 5 éves kisfiú, hogy akinek a csúnya rossz weboldalát tiltani akarják, akkor annak a DNS-éből kiveszik az IP címeket, és az automatikusan megy BGP-n a szolgáltatók felé. Na most ha ilyen csúnya bácsi vagy és rendelkezel a DNS rekord felett amit az NMHH maga felé irányít, akkor nem nehéz elképzelni, hogy a csúnya bácsinak eszébe jut, hogy át tudja írni a csúnyarossz weboldalának A rekordját valami legitim IP cím(ek)re, ilyen módon borsot törve mások orra alá akiknek a forgalom mennyisége miatt fájdalmas megtenni ezt a kis kitérőt nmhh felé. Neadjisten még packet loss is lenne.

Szóval ha lehet hinni ennek az 5 évesnek, akkor konkrétan az NMHH azoknak a kezébe adja a BGP hirdetéseit a DNS rekordokon keresztül akiket tiltani óhajt. Na most ha ilyen szinten dilettáns emberek ülnek ott, akkor az ilyen anekdotázás, hogy "ez nem a ti problémátok", minimum vicces. Akik ezt ott kitalálták az NMHH-nál azokat nem szabadna az IT közelébe engedni, mert egy junior szintjét sem üti meg a tudásuk, és az a csoda, hogy még okoztak óriási kárt ezzel a baromsággal. Tipikus esete annak, hogy állami cégnél ez el tud menni, de a versenyszférában már úgy b...ták volna ki őket mint macskát tojni...

szerk: ja és jogászkodással rákényszerítik az ISP-ket, hogy vegyék át BGP-n ezeket a prefixeket. Egészen döbbenetes amúgy...

Pont o meselte nekem, hogy pld a Broadcom-nek vannak erre cuccai :) 

ezt konnyen megtalalod.

Igy keress broadcom enterprise proxy, vagy gateway 

Majd talasz mas gyartokat is. Aztan rakd ossze fejben mennyire egyszeru az allamnak ezt 443 ele tenni ;)

Majd a youtube stb mehrt kivetel listara ;) 

Keveritek a szezont a fazonnal. Ezek a termékek régóta léteznek, mondhatni nagyon alap elvárás már egy enterprise proxynál, next-gen tűzfalnál az SSL/TLS interception funkció.

Ez viszont nem arra való, hogy te ravasz módon megvásárold (miközben a világ nagy része erről a lehetőségről nem tud, de persze közben te igen, hát persze...), hanem arra, hogy egy zárt infrában (cégek, szervezetek) saját PKI-vel (saját CA-val) használd, minden kliensre telepítve azt, hiszen máshogy nem tud működni a dolog (és pl. cert pinning esetén így sem).

Gondolom a másik megoldásról nem tudsz/mersz/akarsz mondani semmit. Mint ahogy az a másik X ezer/millió ember sem, aki szintén tudnak róla (mert hát lássuk be, hogy ha te tudod, akkor vélhetően elég magas a száma azoknak akik szintén tudják).

Ilyenkor érdemes egy kis önvizsgálatot tartani, és elővenni a jó öreg borotvát. Nekem ez állításod egy polcon van a holdra szállás tagadásával és a chemtrail-el.

csillió éve vannak ilyenek, amik maguk terminaljak az SSL kapcsolatot, kibontják, majd saját maga által aláírt tansúítvánnyal küldik tovább. Node ehhez az kell, hogy az aláíró CA benne legyen a kliens tanusitványtárába, ami egy cégnél nem nagy truváj, AD-be leküldeni, node random különböző emberek eszközeire nem tudod ezt megtenni.

elméletileg megoldható ha van elég pénzed, amikor egyszer barátom barátja keresett ilyet, akkor az volt,  hogy évi 2 milliárd környékén lehetsz trusted CA a magad alatti dolgokra.  Ha kifelé behírdeted akkor persze kidobnak. 

Viszont az ára mellett azért sem nagyon elterjedt,  mert 

  • szemfüles felhasználók kiszúrnák, hogy mindennek ugyanaz a root certje
  • a secu érzékeny alkalmazásokba bele van égetve az anyukájuk publikus kulcsa, így fennakadnak bármifajta MITM próbálkozáson

szóval gyakorlatilag nem lehet feltűnés nélkül tömegesen csinálni

Azért szerintem ezt rakjuk már kontextusba, mert elég erős mondás: ez egy piac, és látható a szereplőkön, hogy nem marslakók, hanem átlagos cégek, szóval túlzással ugyan, de mondhatjuk, hogy bárki tud ilyet csinálni. Eddig oké. A dolog nyitja viszont nem csak a pénzben rejlik, az csak a következmény. Vélhetően a barátod barátjának is azt mondták, hogy a megfelelő szakembergárda, auditálás, infra, stb... fenntartása ennyi, nem pedig az, hogy csak befizeted egy számlára a 2 milliárdot, aztán adják root CA-ságot mint az Ecserin az érettségit. A nap végén a lényeg persze ugyanaz, de azért jelentős különbség van a két megoldás között. Az Ecseris verzió léte ott bukik el, hogy elég nehéz lenne beadni a Google-nak, Apple-nek, MS-nek, Mozillanak, stb..-nek hogy valaki ad 2 milliárdot valakinek évente, és akkor ez így rendben van, tegyék már be a CA-t a root store-ba :)

Igy van.

Ceges Android es Windows eszkozeimre kerultek fel ilyenek, es idonkent frissulnek is.  Sot, nem csak certet, hanem IE/Chrome/FF addont is injektalnak, ha akarnak. Ezt konnyen megtehetik, hiszen teljes felugyeletuk van az eszkozok felett.

Nem rejtegetik, sot allandoan figyelmeztetnek ra, de leszedni nem tudom (vagy nem ertek hozza) oket sima lokalis admin jogokkal. 

Ha nincs kontroll az eszkozok felett, akkor kenytelen vagy a halozati infrastrukturat befolyasolni. A szolgaltatoknak pedig torvenyi kotelesseguk egyuttmukodni. Es igen, megvan hozza a szakembergarda (max nem itt veri magat) es az anyagi forrasok is a kompetencia es technologia beszerzesere.

Szerintem a "csak úgy pénzért megvehető intermediate CA" az domain constraint-es lesz, csak a sajat domain(jeid) alá tudsz aláírni certeket vele.

Unconstrained intermediate CA persze létezik (a legtöbb root CA provider is csinál magának egy intermediate CA certet és az ügyfelek "leaf" certjeit azzal írja alá, mert lényegesen könnyebb az intermediate cacertet cserélni, mint a tényleges root cacertet). Viszont kb ugyanazok az audit követelmények vonatkoznak rá, mint a root CA-kra.

Régóta vágyok én, az androidok mezonkincsére már!

De ennek a világon semmi köze ahhoz amit én írtam.
Ahogy már itt többen írták a ClientHello-ban plain text benne van a kívánt domain név (amihez tartozó certet le szeretné kérni a kliens).
Ez alapján van blokkolva, vagy átengedve a forgalom. Nincs semmilyen CA mágia, nem is akarnak belenézni a forgalomba, csak blokkolják.
Ágyúval verébre. Itt a hupon is volt talán olyan topic már ami arról szólt, hogy Cloudflare mögötti oldalt blokkolt az NMHH, ezzel együtt a teljes forgalmat eltérítették ami arrafelé ment volna -> packet loss

De akkor meg:

  • atirjak a dns-t mas IP-re, ttl -> 5 perc, 'ugralnak' ip-k kozott. mindent nem iranyithat magara a hatosag
    • (esetleg erre egy cloudflare szolgaltatas nincs? valszeg de)
  • BGP-ben a specifikusabb advertisment "gyoz", ergo ha kicsit prefix-et hirdetnek, felejuk fog menni az adat

 

Ezt mar eljatszottuk a piratebay-nel, ugye, es a vegeredmeny az, hogy igazabol ha egy site neten akar maradni, akkor a neten fog maradni.

Nem az a megszexualizálás, h. bgp-n hírdetek egy networköt a világ felé. Hanem h. egy olyasvalaki hírdeti, akinek köze nincs az adott IP-hez. Csak mivel HIVATAL (HATÓSÁG) teszi ezt, ezért a telco szolgáltatók kérdés nélkül engedelmeskednek neki. Magyarul az nmhh felöl jövő hírdetésekben vakon és feltétel nélkül meg kell bíznia minden hazai szolgáltatónak?

Mivel a bgp a bizalmon alapul. Ezért van, h. Dél Kórea aztán hirdethet akármit is, azt Kínán kívül egy más ország szolgáltatói sem hiszik el bemondásra. Hanem kb. akkora filter lehet azokon a linkeken, amekkorákat csak az eszközük kezelni képes.

Dél-Korea elég komolyan jelen van az interneten, elég, ha a rengeteg elérhető médiatartalomra gondolunk. Hirtelen a youtube integer megtekintésszámlálóját kiakasztó figura jutott eszembe, bár a zenéje nagyon nem az én stílusom.

Vagy ez olyan 'van valami ország azon a környéken, ahol valami van csinálva az internettel' poszt? :))

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

"Dél Kórea aztán hirdethet akármit is, azt Kínán kívül egy más ország szolgáltatói sem hiszik el bemondásra"

Ehhez képest kb. évente megdől a világ, mert valaki eírt egy karaktert a BGP hirdetésekben.

Update: na jó, nem pont úgy, inkább így: https://nanog.org/stories/articles/a-brief-history-of-the-internets-biggest-bgp-incidents/

( evone | 2026. 01. 19., h – 13:58 )

rosszul állt rajta a dagadt geci úgyhogy betiltották xD 

( flatline | 2026. 01. 19., h – 14:05 )

Aki akarta, akarja ezutan is ugyanugy tudja majd hasznalni. VPN, tor, stb.

I don't run often, but when I do, I run as administrator.

Amikor a blokkolt oldalról kijött a nav által is látott pénz és ezt nyilván le fogod adózni, akkor pontosan mit is mondasz, honnan van az a bevétel? Egy letiltott oldalról, aminek a tiltását ügyesen megkerülted? 

Mindezt azután, hogy bevezették, hogy minden kripto-fiat tranzakció auditálva van náluk.

Jól értem?

Ez az egy pont van, amin elbukhat, és még akkor is lehet mondani bármit arra a cryptora (bár ez a szál nem arról szól, hogy hogyan és mit lehet hazudni).

Az eredeti állítás az volt, hogy "könnyen ki lehet venni onnét a pénzt", és ez szerintem továbbra is igaz. VPN, befizetsz, fogadsz, nyersz, kiveszed, váltón eladod, tranzakciót hitelesíted, következő év májusában leadózod. Sehol nem fog kérdezni/szólni senki, nem lesz semmilyen fingatás (mitől és miért lenne?). Viszont ha ez túl nagy összeg lesz az életvitelhez mérten, akkor a NAV egy vizsgálat keretében megkérdezheti, hogy honnét volt az eredeti crypto (de ez sem biztos, csak van esélye).

ez január 1.-el megváltozott, mert bejött a CARF/DAC8 szabályozás: https://azuzlet.hu/az-adohatosag-a-kriptoeszkoz-szolgaltatok-uj-adatszolgaltatasi-kotelezettsegeire-figyelmeztet/
 

EU-s állampolgárok bárhol nyitnak crypto számlát ahol van KYC, azt a platformnak jelenteni kell az EU-s tagország adóhivatalának.

ja, és aki eddig is hasznot húzott crypto tranzakciókból de nem adózta le, annak ajánlják visszamenöleg az önkéntest bejelentést az adóhivatalnál

"ha az életvitelén nem látszik feltűnően az extra jövedelem, azaz "radar alatt" marad, akkor nem fogják elővenni. Ha viszont igen, akkor van rá esélye. Illetve ha egy "jóakarója" kellően alátámasztva felnyomja, akkor is el lehet kezdeni magyarázkodni erősen... "
 

Erre gondoltam, csak rossz helyre posztoltam - és nem a polymarketre, hanem a crypto-ra általánosságban, ha nem DEX-en veszed

Szerintem arra sem állja meg a helyét a hivatkozott változás.

Semmilyen probléma nincs ebből, hiszen eladod jogilag teljesen oké helyen (DAC8/CARF-nak megfelelő váltón), KYC-et végigcsinálod, hazai sajátosságokat is (tranzakció validátor), majd SZJA-nál leadózod. Mindent úgy tudsz csinálni ahogy a nagykönyvben meg van írva, teljesen mindegy, hogy a cryptot: vetted régebben, bányásztad, a szomszéd Pistike adta, vagy éppen a Polymarketen nyerted.

Szóval újra: probléma "csak" abból lehet, hogy a hatóság megkérdezheti, hogy mégis hogy került a számládra egy akkora összeg, ami sehogy nem passzol az életviteledhez. Ez mondjuk bőven elég :) De ezzel párhuzamosan tök igaz az az állítás is, hogy könnyű az így szerezett cryptot pénzé tenni (és ugye ez a szál innét indult). Ha pedig nem irreálisan magas összegről van szó, akkor igen kicsi eséllyel lehet ebből bárkinek bármilyen problémája. Ez nem buzdítás nyilván, csak kiigazítás.

a nav nem fogja kerdezni honnan van a crypto. max annyi erdekli hogy van-e meg ott amit levaltottal, de "elfelejtetted" beleirni. az ellenorzes csak az ilyen elrejtett crypto->fiat (/lambo/haz/akarmi) valtasok keresesere iranyul. az aml egy masik hivatal dolga.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ez így nem teljesen igaz tudtommal. Tévedés joga fenntartva.
Ugyanis a számlázó rendszerekben a magánszemély vevő adatait is be kell küldeni a NAV-hoz kötelezően 2021. április 1-jétől (3.0 verzió). Ha kamu adatokat diktálsz be, akkor nem tud "összepárosítani" téged a NAV. Viszont ha bankkártyával / átutalással fizettél, akkor a kör bezárult.

Ez így nem igaz. Pont a héten kértem számlát az optikában és rajta volt: "Fizetési mód: bankkártya". A számlát a szamlazz.hu rendszerével készítették.

A NAV és a könyvelő számára tud "problémát jelenteni", ha céges számlát nem a céges kártyával fizetik ki.

OPCIONÁLIS (NEM KÖTELEZŐ) ADATOK

- fizetési mód (a gyakorlatban általában minden számlán fel van tüntetve)
- fizetési határidő (a gyakorlatban általában minden számlán fel van tüntetve)

\o/

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

raadasul ahogy nezem oda olyat kell irni hogy "atutalas", "sargacsekk", "keszpenz", stb. az hogy kp az fizikai vagy virtualis (aka bankkartya), azt mar nem.

mastreszt nem kell rairni hogy melyik bankkartyaval tortenik a fizetes. ha van 2 sima kassza ahol fizettek 1000Ft-ot, kitoltik a "zold papirt", utolag mar nem lehet megmondani melyiket melyik kartyaval fizettek. az hogy az otp simple atkuldi (?) a kartyaszam utolso 4 karakteret a szamlazzhunak az egyeni dolog.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Úgy értem, hogy nem is fog bekerülni számlázó rendszerbe. Ha külföldi, crypto -t elfogadó oldalon vásárolsz, amit aztán meghoz a futár, akkor az szerintem rejtve marad a NAV elől. Ami amúgy ha jól tudom, akkor egy összeghatárig még csak nem is (teljesen?) illegális.

Nekem például áprilisban kinéz egy kínai út. Forgatok egy gondolatot, hogy mi van, ha ott veszek (helyi áron) egy flagship telefont, ami ugye nem olcsó, és azt zsebben hazahozom. Saját célra, nem pedig tovább adásra. Elvileg kéne rá áfa meg vám meg minden, de doboz nélkül, konkrétan zsebben ki fogja nézni, hogy van nálam egy telefon?

Form follows function.

( bazso | 2026. 01. 19., h – 14:05 )

pedig annyira értékes anyag, hogy egyre több a hivatalos partnerségük hagyományos ellemző cégekkel

( eff | 2026. 01. 19., h – 15:50 )

Valami nem mukodik tokeletesen, mert nalam egy connection reset utan bejott az oldal.

Egyebklent a Viktor out jelenleg 55%-on all.

One Hungary Zrt. FTTH

A kolostormalac hatalmi tébolya és a valóság között sajnos egyre szűkülő különbség van - lásd ennek a weboldalanak az elérhetetlenné tétele. Nem zárnám ki h az ostoba gecije az internetet akarta ennek kapcsán lekapcsoltatni, csak aztán hatották rá a kezelői valahogy. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

( csardij v | 2026. 01. 19., h – 18:29 )

az én szolgáltatómtól siman elérhető (inviteches hálózatot használnak).

ezt honnan veszed? minden ISP-nek ugye kötelező átvenni az NMHH-s BGP hirdetéseket és nem a forrás dönti el, hová megy a forgalom, hanem a more specific cél behirdetése. akár hosting, akár bérelt vonal, akár lakossági hozzáférés, mindegy.

az más kérdés, ha valami olyan hostingszolgáltató, aki nem ISP és nincs erre kötelezve (van ilyen egyáltálán? mármint, hogy nincs kötelezve), akkor ez igaz lehet.

Na, letiltották a Kalshi-t is.

Persze ezen már senki sem lepődik meg, ugyanis akárcsak a Polymarketen, a Kalshi-n is Orbán bukását tartják szanszosabbnak.
Az oldalon jelenleg a 2026-os magyar országgyűlési választásokon induló Orbán Viktor a harmadik legnépszerűbb jelölt, akinek a Kalshi fogadói a bukására fogadnak.
Na de bezzeg most, a tiltás határása biztos népszerűbb lesz majd! (szarkazmus)
betiltották az illegális tevékenységet
Csakhát nem illegális. Annak az országnak a törvényei vonatkoznak rá, ahová be lett jegyezve, és az biza nem Mo.

Jaja, a nagy szerencsejáték oldalakat is azért tiltották be sokéve, mert orbán ellen fogadtak...

"Annak az országnak a törvényei vonatkoznak rá, ahová be lett jegyezve, és az biza nem Mo."

Teljes kapufa. Azt mondod, ha mondjuk valami elborult ország legalizálja az online gyerekpornót, akkor ahhoz nekünk semmi közünk, hiszen a bejegyző országban legális, nehogy már betiltsuk, hogy a magyar internetről elérjék az emberek?

Jaja, a nagy szerencsejáték oldalakat is azért tiltották be
És azoknak mi közük van a prediction marketekhez?
Teljes kapufa.
A részedről? Valóban.
Azt mondod, ha mondjuk valami elborult ország legalizálja az online gyerekpornót, akkor ahhoz nekünk semmi közünk, hiszen a bejegyző országban legális
Pontosan. Szuverenitásról teccett-e mán hallani? Jogilag lófaszt se tehetsz ellene, tilthatod az elérést, de ha megszakadsz se válik az eredet országban illegálissá.

Egyébként meg idehaza sem illegálisak a prediction marketek, csak hogy tisztázzuk. Az történt, hogy a PEDOFIDESZ csúnyán beégett a befolyásolási kísérlettel, maradt Magyar Péter az esélyes, emiatt hisztiből rákenték, hogy szerintük ez "szerencsejáték", oszt csók, persze bizonyíték nuku.

Fogadni események kimenetelére mióta nem szerencsejáték? Lehet az focimeccs, kosár, kártyajáték vagy éppen egy választás kimenetele.

"Jogilag lófaszt se tehetsz ellene, tilthatod az elérést, de ha megszakadsz se válik az eredet országban illegálissá."

Már megint el vagy tévedve. Magyarország nem akarja más országra rákényszeriteni a törvényeit, beleszólni, hogy más ország mit csináljon. (kurvára fura lehet ez neked, mi?)

A saját országán belül tartja be a saját törvényeit, ez esetben korlátozza olyan oldalak elérését amik itthon illegálisak.

Pontosan. Szuverenitásról teccett-e mán hallani? Jogilag lófaszt se tehetsz ellene, tilthatod az elérést, de ha megszakadsz se válik az eredet országban illegálissá.

Senki nem mondta, hogy ott illegálissá válik. Arról volt szó, hogy attól, hogy ott legális, itthon az-e, és szabad-e tiltani az elérését innen.

hat mondjuk a trend szerint epp nem a bukas fele kozeledett OV. eddig a messiasotok csokkent 53-ra a 60+-rol....

Csakhát nem illegális.

kit erdekel hogy mashol legalis. nalunk a szerencsejatek nem az. ezert lett nalunk betilva.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

hat mondjuk a trend szerint
Szóval neked még az is meghaladja az értelmi képességeidet, hogy leolvasd az értéket egy grafikonról?
https://assets.telex.hu/images/20251210/1765380170-temp-i1htqdb5raia7HI…

Tudtuk eddig is, hogy a hozzád hasonló, agymosott PEDOFIDESZesek nem épp észlények, de azért ne már.

( bzt | 2026. 01. 24., szo – 22:23 )

No mégeccer, hogy az agymosott TROLLok is értsék: Prediction market != szerencsejáték. Gyk: több köze van a tőzsdéhez, mint a lottóhoz.
Magyarország nem akarja más országra rákényszeriteni a törvényeit, beleszólni, hogy más ország mit csináljon.
LOL. Nem küld katonákat Csádba? Nem akar beleszólni abba, hogy milyen nyelven beszélhetnek Ukrajnában? Nem vétózik Orbán orrba szájba, hogy más országokat gáncsoljon, mint a svéd NATO csatlakozást, mi?
Neked durván kimosták az agyad, hallod-e. És persze én lennék eltévedve, nem te (szarkazmus).
A saját országán belül tartja be a saját törvényeit
Ezen felröhögtem. :-) :-) :-) Szájert talán lecsukták drogbirtoklásért? Matolcsyt sikkasztásért? Bayert uszításért és gyűlöletbeszédért? Orbánt műemlékrombolásért? Rogánt rágalmazásért?
A hülye is tuggya meg a holdrúl is láccik, hogy itt ebben az országban aztán betartják a törvényeket!
Arról volt szó, hogy attól, hogy ott legális, itthon az-e
Nem. Arról van szó, hogy valamire mindenféle bizonyíték nélkül csak úgy rámondták, hogy szerencsejáték. Ennyi erővel miért nem tilcsák be a tőzsdézést is?

Épeszű embernek teljesen nyilvánvaló, hogy ez szerencsejáték, a hülyék meg habzó szájjal nyomják csak tovább a demagóg hülyeséget. A karaván meg halad...

De azért lőttem gyorsan egy képet az oldalról, hogy a pofátlan hazugságról is maradjon némi bizonyiték. Nem szerencsejáték, tőzsde. Az bazdmeg.

Teljesen mindegy hogy szerinted mi. Magyarországon az "előrejelzési piac" az 1991. évi XXXIV. törvény szerint szerencsejáték ("olyan játék, amelyben a játékos pénz fizetése, vagy vagyoni érték nyújtása fejében, meghatározott feltételek fennállása vagy bekövetkezése esetén pénznyereményre, vagy más vagyoni értékű nyereményre válik jogosulttá")

Ha nincsen szerencsejáték engedély, akkor jogosulatlanul szervezett szerencsejáték, letiltható.

Pont mint a polymarketen. Kibocsátáskor a pénzeddel fogadsz arra hogy a jövőben többet fog érni, majd a többiek együttes véleménye és adásvételi tevékenysége/ajánlata alapján veszel vagy eladsz, jövőbeni nyereségben vagy várt veszteség minimalizálás reményében. Pont mint a polymarketen...

Attól még igaz, hogy valamit vettek (ez esetben valamennyi tulajdonrészt egy vállalatban). Az, hogy lement az ára később, ezen nem változtat. Bróker Marcsit kár idekeverni, az szimpla csalás, olyan, mintha a használtpiacon laptop helyett féltéglát küldenének a csomagban.

A Polymarketen minden esemény kimenetele valójában egyfajta „részvényként” működik. Ha például a piac így szól: „Trump megnyeri a választást?”, akkor két token (vagy „papír”) jön létre: IGEN és NEM. Ezeket bárki megveheti és eladhatja az esemény lezárultáig.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

A "belátáshoz" szükséges gondolatmenettel adós maradtál.

Egyébként nem fér bele, az opciók és más derivatívák piaca sem fér bele. Ha a miért kétséges lenne: a tőzsdén, kivétel nélkül minden egyes tranzakciónál, a határidősnél is tőzsdei társaságok tulajdonjogának cseréi valósulnak meg. Egy nagyon jól meghatározott, a területileg illetékes joghatóság szabályai alapján kontrollált cégválasztékból szerzhetesz tulajdonjogot, vagy ahhoz kapcsolódó vagyoni értékű jogokat (opciók) egy szintén szabályozott, felügyelt folyamatban. A fellengzősen "előrejelzési piacnak" nevezett szerencsejátékban ebből a felsorolásból semmi nincsen jelen. 

A tulajdonjog értéke addig valós, amennyiért a cég eszközei, emberei stb. értékesíthetők. Amikor a tőzsdei érték egy jövőbeni alacsony esélyű állapot bekövetkezésének reményében magas (AI cégek,  de akár a Tesla is), akkor ez egy szerencsejáték, csak jogilag szerencséje van mert külön van szabályozva. De nem jogász vagyok, hanem mérnök. Nekem az, ami az ígéret bedőlése után nem eladható, az nem termék, hanem tét egy jövőbeni állapotra, ami szerencsejáték. 

Egy cég értéke nem tisztán a fizikai eszközök, sőt, elsősorban nem az, hanem a jövedelemtermelő képesség. Ezt veszed meg a részvénnyel, illetve az abban való részesedés lehetőségét (a tulajdonjog arányában).

Nekem az, ami az ígéret bedőlése után nem eladható, az nem termék

Ha veszel egy sípoló gumimókust ötezer forintért, és az elromlik, nem eladható.

Egy cég értéke nem tisztán a fizikai eszközök, sőt, elsősorban nem az, hanem a jövedelemtermelő képesség.
Magyarán: szerencsejáték. Nem valós érték cserél tulajdonjogot a tőzsdén, hanem a cég ígéreteire fogadnak.

Az a baj, minnél jobban erőlködsz, annál világosabb lesz, hogy a tőzsdére is éppúgy igaz mindaz, mint amiért (állítólag) a polymarketet betiltották. Persze a valóság az, hogy azért tiltották be, mert sikertelen volt a befolyásolási kísérletük, továbbra is Orbán bukására tesz a nép.

Ezen kívül vannak még ugye jogszabályok is, meg sorban negyedik kétharmados felhatalmazás. Ami viszont nemigen van: felismerés a térdelők részéről, hogy a szavakkal dobálózásuk országos szinten sorban négyszer lényegesen kevésnek bizonyult a saját győzelmükhöz.

:)

De de, ott konkrétan arról volt szó, hogy be mi kitilthatunk-e valamit, amit máshol legális. Csak hát te kényelmesen lehagytad a mondat második felét, hogy letehesd a kétforintosod amellett, hogy ha köcsögizsztánban ér gyerekpronót nézni, akkor az neked is jár itthon. Lelked rajta.

PEDOFIDESZ.

- Kegyelmi botrány.
- Bicskei gyermekotthon
- Cseppkő gyermekotthon
- nagykanizsai bűnöző nevelő
- debreceni Csokonai Vitéz Mihály Gimnázium pedofil botránya
- bonyhádi polgármester rokonának pedofil botránya
- Kaleta
- Szőlő utca gyermekprostitúció
- Tuzson hazugságok
- Zsolti bácsi
- Pajor András pedofil pap
- Rónaszéki Gábor pedofil pap
- Hatházi Róbert kecskeméti pedofil plébános
- Elítélt pedofil a harcosok klubjában
- ...stb.

Mit is akartál mondani...? Aki a PEDOFIDESZt támogatja, az egy utolsó rohadék pedofil vagy egy szerencsétlen agymosott barom? Hát, ez bizony igaz! A tények nem hazudnak!
konkrétan arról volt szó
A tőzsdéről és a szerencsejátékról, meg bizonyíték nélküli betiltásokról volt szó, te mégis pedofilozásba kezdtél. Javaslom, máskor ne magadból indulj ki!
Csak hát te kényelmesen lehagytad a mondat második felét, hogy letehesd a kétforintosod amellett
Csak hát te kényelmesen lehagytad a mondat második felét, miszerint nem magával a tiltással van bajom, hanem azzal, hogy bizonyítékok nélkül mondták rá valamire, hogy tiltandó! Kurva nagy különbség, bár a te szellemi színvonaladon nem várom el, hogy felfogd. Mármint, azt sem vagy képes felfogni, hogy 15 éve folyamatosan a képedbe hazudnak, szóval...

Keress egy orvost, teljesen elvesztetted a valósággal a kapcsolatodat.

Arról persze kussolsz, ahol kifotóztam hogy a polymarket egy egyszerű sportfogadási oldal, mint a toto. 

A komplett agymosásodtól nem látod a fától az erdőt, a legegyszerűbb összefüggéseket sem tudod felfogni.

Mit is akartál mondani...?

A fideszről? Semmit. (For the record, nyugodtan eláshatnák az összes ilyen szennyet, meg az őket mosdató szardarabokat is valahova jó mélyre.) Arra a konkrét dologra reagáltam, amit te mondtál. Miszerint ha faszomisztánban legális a pedofília, akkor itthon nem lehet letiltani a faszomisztáni pedofil oldalakat, mert faszomisztán szuverén.

A tőzsdéről és a szerencsejátékról, meg bizonyíték nélküli betiltásokról volt szó, te mégis pedofilozásba kezdtél.

Én konkrétan arra az egy dologra válaszoltam, amire válszoltam, nem a többire. És én ugyan semmit nem kezdtem, reagáltam már általatok előadottakra.

Javaslom, máskor ne magadból indulj ki!

Szóval ezért pedig nagyon finoman hadd mondjam, hogy meg a jó büdös kurva anyádat, azt.