Не отображаются таблицы. Хелп!

MotoArhangel пишет:

Вложенный файл:

Имя файла:
Размер файла:1 KB

входим по

http://lk2012.budget.gov.ru

без настроек прокси в браузере.

Настройки импортированы, проверены - те же, что и были. Т.к. на данной машине нет Касперского, то ничто не мешает заходить без прокси в браузере.
А с KES-10 заходит либо через отключение контроля портов 80 и 443 (что не советуют), либо через прокси в браузере (что не напрягает), причем галочка "использовать непрозрачное проксирование" снята.
Могут ли настройки Континента сыграть какую-то роль?
UPD. Как и ожидалось, не сыграли. По-прежнему адрес в доверенных (в разных вариантах), Континент TLS в исключениях, но если не отключить контроль портов 80 и 443, то вход только через настройки прокси в браузере.

Gvinpin пишет:

MotoArhangel пишет:

Вложенный файл:

Имя файла:
Размер файла:1 KB

входим по

http://lk2012.budget.gov.ru

без настроек прокси в браузере.

Настройки импортированы, проверены - те же, что и были. Т.к. на данной машине нет Касперского, то ничто не мешает заходить без прокси в браузере.
А с KES-10 заходит либо через отключение контроля портов (что не советуют), либо через прокси в браузере (что не напрягает), причем галочка "использовать непрозрачное проксирование" снята.
Могут ли настройки Континента сыграть какую-то роль?

В инструкции по настройке рабочего места есть информация какие адреса и порты д.б. открыты в антивирусе

igor1806 пишет: В инструкции по настройке рабочего места есть информация какие адреса и порты д.б. открыты в антивирусе

В инструкции ни слова про антивирус. Речь идет о маршрутизаторе и проки-сервере.

Gvinpin пишет: В инструкции ни слова про антивирус. Речь идет о маршрутизаторе и проки-сервере.

И это логично в случае антивируса. А этот (КЕС 10) "антивирус" ещё "немножечко фаервол". Его и ставлю то только поверх KAV 6, он оттуда хоть настройки импортирует, а если "чистая установка" то пипец. А ещё всякие "политики", которые чихнуть не дают, но видимо в УФК всё таки сняли контроль портов.

Alex67 пишет:

Gvinpin пишет: В инструкции ни слова про антивирус. Речь идет о маршрутизаторе и проки-сервере.

И это логично в случае антивируса. А этот (КЕС 10) "антивирус" ещё "немножечко фаервол". Его и ставлю то только поверх KAV 6, он оттуда хоть настройки импортирует, а если "чистая установка" то пипец. А ещё всякие "политики", которые чихнуть не дают, но видимо в УФК всё таки сняли контроль портов.

Как бы не проблема настроить прокси в браузере, если KES-10 блокирует доступ. Но в чем опасность снятия контроля портов, которые должны быть открыты?

Gvinpin пишет: Как бы не проблема настроить прокси в браузере, если KES-10 блокирует доступ. Но в чем опасность снятия контроля портов, которые должны быть открыты?

Таковой не вижу . Я о том, что поскольку у нас прозрачное проксирование работает видимо контроль портов снят в УФК.

Alex67 пишет:

Gvinpin пишет: Как бы не проблема настроить прокси в браузере, если KES-10 блокирует доступ. Но в чем опасность снятия контроля портов, которые должны быть открыты?

Таковой не вижу . Я о том, что поскольку у нас прозрачное проксирование работает видимо контроль портов снят в УФК.

Туплю. Я об Интернете.

Gvinpin пишет: Туплю. Я об Интернете.

KES 10,2 неадекватно реагирует на ПО ЭБ в целом))

Нашёл возможность заходить по https на lk2012.budget.gov.ru/udu-webcenter с использованием КриптоПро CSP 4.0.9944 и Chromium-GOST (Континент TLS Клиент не требуется для входа): cодержимое вкладок отображается теперь полностью, ошибок на странице не возникает; подписание с помощью КриптоПро ЭЦП Browser plugin 2.0 или расширения для Jinn-Client не проверял.

ПРЕДУПРЕЖДЕНИЕ!!!: Так как обход недоделанности сайта ЭБ под https достигается путём полного отключения защиты браузера Chromium-GOST, то:

1. Разработчики Электронного бюджета, техподдержка ЭБ, а также сотрудники казначейства никогда не будут предлагать этот способ для настройки пользователям. Поэтому для настройки Электронного бюджета необходимо получать дистрибутивы Континент TLS Клиент и Jinn-Client в казначействе и настраивать работу через них.
2. Ни в коем случае не заходите на любые другие сайты помимо ЭБ (в том числе известные сайты, такие как roskazna.ru) через Chromium-GOST, а тем более не сохраняйте логины и пароли, а также не переходите по ссылкам - В Chromium-GOST с использованием ниже написанных настроек это небезопасно.

Собственно Инструкция по настройке:

1. Для этого понадобится браузер chromium-gost (проверял на 49-й и 72-й версиях).
2. Создаёте ярлык для запуска браузера с параметрами: --allow-running-insecure-content --disable-web-security --user-data-dir
3. Дополнительные (необязательные) параметры: --no-proxy-server --disable-infobars
4. Запускаете chromium-gost через ярлык и в адресной строке вводите chrome://net-internals
5. В 49-й версии выбираете HSTS, ставите две галочки Include subdomains for STS и Include subdomains for PKP. В строке Domain вводите lk2012.budget.gov.ru
6. В 72-й версии выбираете Domain Security Policy, ставите галочку Include subdomains for STS. В строке Domain вводите lk2012.budget.gov.ru, нажимаете кнопку Add.
7. Перезапускаете браузер.

Пояснения к некоторым параметрам:

• --disable-web-security --user-data-dir - эти два параметра надо обязательно использовать вместе (первый параметр без второго не работает).
• --user-data-dir - путь к дефолтному профилю с настройками пользователя; если указать --user-data-dir="c:\temp\user123", то будет задан профиль пользователя user123, который находится в папке c:\temp
• --no-proxy-server - браузер не будет использовать никакой прокси, даже если он задан в настройках Internet Explorer.
• --disable-infobars - Если этот параметр не использовать, то вверху браузера каждый раз при запуске будет отображаться сообщение "Вы используете неподдерживаемый флаг командной строки: --disable-web-security. Стабильность и безопасность будут нарушены." (На самом деле, несмотря на данное сообщение, этот параметр работает, если он указан вместе с --user-data-dir)

Wmffre пишет: Так как обход недоделанности сайта ЭБ под https...

Пора бы им уже доделать всё это. А то по их инструкциям у них все замечательно работает и подписывается по https без Континента TLS и Jinn-Client'а, а на деле...

Впрочем, на прошлой неделе опять заработала возможность подписывать документы КриптоПро ЭЦП Browser plugin. Так что Jinn-Client уже не нужен (проверял только для ГОСТ 2001). Осталось сделать то, что уже описано в документации как работающее — работу через https — и тогда и от Континента TLS можно будет избавиться.

sandrey_ пишет:

Wmffre пишет: Так как обход недоделанности сайта ЭБ под https...

Пора бы им уже доделать всё это. А то по их инструкциям у них все замечательно работает и подписывается по https без Континента TLS и Jinn-Client'а, а на деле...

По https только доступ, а подписание все равно через Jinn-Client.

sandrey_ пишет: Впрочем, на прошлой неделе опять заработала возможность подписывать документы КриптоПро ЭЦП Browser plugin. Так что Jinn-Client уже не нужен (проверял только для ГОСТ 2001). Осталось сделать то, что уже описано в документации как работающее — работу через https — и тогда и от Континента TLS можно будет избавиться.

ИМХО, работа через https подразумевалась как временное решение из-за неготовности выдавать Континент TLS версии 2.0. Что-то не верится, что это будет доделано, скорее исправят документацию.

Выскажу свое мнение по поводу доступа через http и https. Отечественные сервисы, такие как ЭБ, ЭБ бюджетное планирование, удостоверяющий центр казны переходят на использование ГОСТ шифорования при использовании https:

[user@host ~]$ openssl s_client -host ssl.budgetplan.minfin.ru -port 443
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
SSL-Session:
Protocol : TLSv1
Cipher : GOST2001-GOST89-GOST89
---
[user@host ~]$ openssl s_client -host lk.budget.gov.ru -port 443
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
SSL-Session:
Protocol : TLSv1
Cipher : GOST2001-GOST89-GOST89

Как известно из распространенных браузеров ГОСТ держит только IE. FireFox и Chrome не спешать включать поддержку ГОСТ у себя, и судя по всему и не собираются. Есть сторонние сборки CryptoFox и chromium-gost, в них поддержка ГОСТ прикостылена. Есть браузер Спутник и Яндекс.Браузер. Через Яндекс.Браузер мне удавалось открыть ЭБ без использования TLS клиента. И даже открыть таблицы, об этом ниже. TLS-клиент образует TLS соединение с использованием ГОСТ и делает прозрачным использование ЭБ посредством http. И таким образом позволяет использовать любой браузера для просмотра.
Но использование ЭБ на других ОС, например под Linux с использованием штатного браузера (каким бы он ни был), не возможно. А тренд на смену Windows на Linux объявлен. И в этом свете использование TLS клиента - это грамотное решение. Достаточно выпустить TLS-клиент под Linux и станет возможна работа с ЭБ с любым браузером под Linux. Я думаю это лишь вопрос времени.

По поводу просмотра таблиц при открытии ЭБ напрямую через https. Таблицы почему-то тянутся через http!, и все браузеры считают это как небезопасное содержимое. Поэтому приходится всякими способами отключать дефолтное поведение браузеров и разрешать отображение http на странице https. Яндекс.Браузер мне позволил включить отображение http и таблицы появились. Но поведение это закрепить не смог и оставил эксперименты.

Исходя из вышеизложенного: не будет отключен https - иначе как работать. Будет либо развитие TLS клиента на все платформы (что более вероятно), либо в популярные браузеры включат поддержку ГОСТ (что менее вероятно)

Так что есть нормальное решение проблемы? Получил ЭЦП с 2012 ГОСт, и теперь такая же ерунда приключилась. Притом ставил TLS клиент 2.0 и заходил через хром, мазилу.. эфект тот же, содержания нет, а меню и все остальное работает. Проверял на двух машинах. Техподдержка присылает (вернее просто посылает) ответ идите на сайт читайте инструкции..
Возможно без TLS клиента работать нормально на IE 11 ?

Dmitr555 пишет: Так что есть нормальное решение проблемы?
ставил TLS клиент 2.0 и заходил через хром, мазилу.. эффект тот же, содержания нет, а меню и все остальное работает.

Чтобы отображалось заходить нужно через http:

Dmitr555 пишет: Возможно без TLS клиента работать нормально на IE 11 ?

Без TLS нет.

davydkov пишет: Исходя из вышеизложенного: не будет отключен https - иначе как работать. Будет либо развитие TLS клиента на все платформы (что более вероятно), либо в популярные браузеры включат поддержку ГОСТ (что менее вероятно)

Подробнее здесь sedkazna.ru/forum.html?view=topic&catid=9&id=815&start=15#11815
TLS-клиент не нужен.

Насчет ГОСТ-браузеров. Kernel 5.x+ решил эту проблему

В криптографическую подсистему добавлена хэш-функция Streebog, стандартизированная в РФ как ГОСТ 34.11-2012 (реализация разработана компанией "Базальт СПО");

www.opennet.ru/opennews/art.shtml?num=50201
Но проблема заключается в том, что корневые сертификаты ФК используют ГОСТ 2001 - это вы продемонстрировали в выводе команд с openssl.
Итого: ждем 01.01.2020 и используем абсолютно любой браузер для захода в любые порталы ФК по ГОСТ 34.11-2012.