× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Не отображаются таблицы. Хелп!

27 фев 2019 03:47 - 27 фев 2019 07:15 #10905 от Gvinpin

MotoArhangel пишет:

Вложенный файл: (1 KB)

входим по
http://lk2012.budget.gov.ru
без настроек прокси в браузере.

Настройки импортированы, проверены - те же, что и были. Т.к. на данной машине нет Касперского, то ничто не мешает заходить без прокси в браузере.
А с KES-10 заходит либо через отключение контроля портов 80 и 443 (что не советуют), либо через прокси в браузере (что не напрягает), причем галочка "использовать непрозрачное проксирование" снята.
Могут ли настройки Континента сыграть какую-то роль?
UPD. Как и ожидалось, не сыграли. По-прежнему адрес в доверенных (в разных вариантах), Континент TLS в исключениях, но если не отключить контроль портов 80 и 443, то вход только через настройки прокси в браузере.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

___________________________
Нас невозможно сбить с пути - нам пофигу, куда идти ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 04:40 #10906 от igor1806

Gvinpin пишет:

MotoArhangel пишет:

Вложенный файл: (1 KB)

входим по
http://lk2012.budget.gov.ru
без настроек прокси в браузере.

Настройки импортированы, проверены - те же, что и были. Т.к. на данной машине нет Касперского, то ничто не мешает заходить без прокси в браузере.
А с KES-10 заходит либо через отключение контроля портов (что не советуют), либо через прокси в браузере (что не напрягает), причем галочка "использовать непрозрачное проксирование" снята.
Могут ли настройки Континента сыграть какую-то роль?

В инструкции по настройке рабочего места есть информация какие адреса и порты д.б. открыты в антивирусе

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 05:30 #10907 от Gvinpin

igor1806 пишет: В инструкции по настройке рабочего места есть информация какие адреса и порты д.б. открыты в антивирусе

В инструкции ни слова про антивирус. Речь идет о маршрутизаторе и проки-сервере.

___________________________
Нас невозможно сбить с пути - нам пофигу, куда идти ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 07:28 #10908 от Alex67

Gvinpin пишет: В инструкции ни слова про антивирус. Речь идет о маршрутизаторе и проки-сервере.

И это логично в случае антивируса. А этот (КЕС 10) "антивирус" ещё "немножечко фаервол". Его и ставлю то только поверх KAV 6, он оттуда хоть настройки импортирует, а если "чистая установка" то пипец. А ещё всякие "политики", которые чихнуть не дают, но видимо в УФК всё таки сняли контроль портов.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 08:06 #10910 от Gvinpin

Alex67 пишет:

Gvinpin пишет: В инструкции ни слова про антивирус. Речь идет о маршрутизаторе и проки-сервере.

И это логично в случае антивируса. А этот (КЕС 10) "антивирус" ещё "немножечко фаервол". Его и ставлю то только поверх KAV 6, он оттуда хоть настройки импортирует, а если "чистая установка" то пипец. А ещё всякие "политики", которые чихнуть не дают, но видимо в УФК всё таки сняли контроль портов.

Как бы не проблема настроить прокси в браузере, если KES-10 блокирует доступ. Но в чем опасность снятия контроля портов, которые должны быть открыты?

___________________________
Нас невозможно сбить с пути - нам пофигу, куда идти ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 08:41 #10911 от Alex67

Gvinpin пишет: Как бы не проблема настроить прокси в браузере, если KES-10 блокирует доступ. Но в чем опасность снятия контроля портов, которые должны быть открыты?

Таковой не вижу :) . Я о том, что поскольку у нас прозрачное проксирование работает видимо контроль портов снят в УФК.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 08:59 #10913 от Gvinpin

Alex67 пишет:

Gvinpin пишет: Как бы не проблема настроить прокси в браузере, если KES-10 блокирует доступ. Но в чем опасность снятия контроля портов, которые должны быть открыты?

Таковой не вижу :) . Я о том, что поскольку у нас прозрачное проксирование работает видимо контроль портов снят в УФК.

Туплю. Я об Интернете.

___________________________
Нас невозможно сбить с пути - нам пофигу, куда идти ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 09:55 - 28 фев 2019 15:01 #10915 от MotoArhangel

Gvinpin пишет: Туплю. Я об Интернете.

KES 10,2 неадекватно реагирует на ПО ЭБ в целом:)))

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2019 21:16 - 27 фев 2019 21:18 #10938 от Wmffre
Нашёл возможность заходить по https на lk2012.budget.gov.ru/udu-webcenter с использованием КриптоПро CSP 4.0.9944 и Chromium-GOST (Континент TLS Клиент не требуется для входа): cодержимое вкладок отображается теперь полностью, ошибок на странице не возникает; подписание с помощью КриптоПро ЭЦП Browser plugin 2.0 или расширения для Jinn-Client не проверял.

ПРЕДУПРЕЖДЕНИЕ!!!: Так как обход недоделанности сайта ЭБ под https достигается путём полного отключения защиты браузера Chromium-GOST, то:
  1. Разработчики Электронного бюджета, техподдержка ЭБ, а также сотрудники казначейства никогда не будут предлагать этот способ для настройки пользователям. Поэтому для настройки Электронного бюджета необходимо получать дистрибутивы Континент TLS Клиент и Jinn-Client в казначействе и настраивать работу через них.
  2. Ни в коем случае не заходите на любые другие сайты помимо ЭБ (в том числе известные сайты, такие как roskazna.ru) через Chromium-GOST, а тем более не сохраняйте логины и пароли, а также не переходите по ссылкам - В Chromium-GOST с использованием ниже написанных настроек это небезопасно.

Собственно Инструкция по настройке:
  1. Для этого понадобится браузер chromium-gost (проверял на 49-й и 72-й версиях).
  2. Создаёте ярлык для запуска браузера с параметрами: --allow-running-insecure-content --disable-web-security --user-data-dir
  3. Дополнительные (необязательные) параметры: --no-proxy-server --disable-infobars
  4. Запускаете chromium-gost через ярлык и в адресной строке вводите chrome://net-internals
  5. В 49-й версии выбираете HSTS, ставите две галочки Include subdomains for STS и Include subdomains for PKP. В строке Domain вводите lk2012.budget.gov.ru
  6. В 72-й версии выбираете Domain Security Policy, ставите галочку Include subdomains for STS. В строке Domain вводите lk2012.budget.gov.ru, нажимаете кнопку Add.
  7. Перезапускаете браузер.

Пояснения к некоторым параметрам:
  • --disable-web-security --user-data-dir - эти два параметра надо обязательно использовать вместе (первый параметр без второго не работает).
  • --user-data-dir - путь к дефолтному профилю с настройками пользователя; если указать --user-data-dir="c:\temp\user123", то будет задан профиль пользователя user123, который находится в папке c:\temp
  • --no-proxy-server - браузер не будет использовать никакой прокси, даже если он задан в настройках Internet Explorer.
  • --disable-infobars - Если этот параметр не использовать, то вверху браузера каждый раз при запуске будет отображаться сообщение "Вы используете неподдерживаемый флаг командной строки: --disable-web-security. Стабильность и безопасность будут нарушены." (На самом деле, несмотря на данное сообщение, этот параметр работает, если он указан вместе с --user-data-dir)
Спасибо сказали: sandrey_, dimas36

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 март 2019 09:24 #11029 от sandrey_

Wmffre пишет: Так как обход недоделанности сайта ЭБ под https...

Пора бы им уже доделать всё это. А то по их инструкциям у них все замечательно работает и подписывается по https без Континента TLS и Jinn-Client'а, а на деле...

Впрочем, на прошлой неделе опять заработала возможность подписывать документы КриптоПро ЭЦП Browser plugin. Так что Jinn-Client уже не нужен (проверял только для ГОСТ 2001). Осталось сделать то, что уже описано в документации как работающее — работу через https — и тогда и от Континента TLS можно будет избавиться.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 март 2019 09:41 - 04 март 2019 09:43 #11030 от Gvinpin

sandrey_ пишет:

Wmffre пишет: Так как обход недоделанности сайта ЭБ под https...

Пора бы им уже доделать всё это. А то по их инструкциям у них все замечательно работает и подписывается по https без Континента TLS и Jinn-Client'а, а на деле...

По https только доступ, а подписание все равно через Jinn-Client.

sandrey_ пишет: Впрочем, на прошлой неделе опять заработала возможность подписывать документы КриптоПро ЭЦП Browser plugin. Так что Jinn-Client уже не нужен (проверял только для ГОСТ 2001). Осталось сделать то, что уже описано в документации как работающее — работу через https — и тогда и от Континента TLS можно будет избавиться.

ИМХО, работа через https подразумевалась как временное решение из-за неготовности выдавать Континент TLS версии 2.0. Что-то не верится, что это будет доделано, скорее исправят документацию.

___________________________
Нас невозможно сбить с пути - нам пофигу, куда идти ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 март 2019 07:07 - 07 март 2019 07:31 #11126 от davydkov
Выскажу свое мнение по поводу доступа через http и https. Отечественные сервисы, такие как ЭБ, ЭБ бюджетное планирование, удостоверяющий центр казны переходят на использование ГОСТ шифорования при использовании https:

[user@host ~]$ openssl s_client -host ssl.budgetplan.minfin.ru -port 443
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
SSL-Session:
Protocol : TLSv1
Cipher : GOST2001-GOST89-GOST89
---
[user@host ~]$ openssl s_client -host lk.budget.gov.ru -port 443
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
SSL-Session:
Protocol : TLSv1
Cipher : GOST2001-GOST89-GOST89


Как известно из распространенных браузеров ГОСТ держит только IE. FireFox и Chrome не спешать включать поддержку ГОСТ у себя, и судя по всему и не собираются. Есть сторонние сборки CryptoFox и chromium-gost, в них поддержка ГОСТ прикостылена. Есть браузер Спутник и Яндекс.Браузер. Через Яндекс.Браузер мне удавалось открыть ЭБ без использования TLS клиента. И даже открыть таблицы, об этом ниже. TLS-клиент образует TLS соединение с использованием ГОСТ и делает прозрачным использование ЭБ посредством http. И таким образом позволяет использовать любой браузера для просмотра.
Но использование ЭБ на других ОС, например под Linux с использованием штатного браузера (каким бы он ни был), не возможно. А тренд на смену Windows на Linux объявлен. И в этом свете использование TLS клиента - это грамотное решение. Достаточно выпустить TLS-клиент под Linux и станет возможна работа с ЭБ с любым браузером под Linux. Я думаю это лишь вопрос времени.

По поводу просмотра таблиц при открытии ЭБ напрямую через https. Таблицы почему-то тянутся через http!, и все браузеры считают это как небезопасное содержимое. Поэтому приходится всякими способами отключать дефолтное поведение браузеров и разрешать отображение http на странице https. Яндекс.Браузер мне позволил включить отображение http и таблицы появились. Но поведение это закрепить не смог и оставил эксперименты.

Исходя из вышеизложенного: не будет отключен https - иначе как работать. Будет либо развитие TLS клиента на все платформы (что более вероятно), либо в популярные браузеры включат поддержку ГОСТ (что менее вероятно)
Спасибо сказали: sedkazna, fronik

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.