Istnieje wiele sposobów by zablokować dostęp do stron.
Jeśli chcesz zablokować dostęp tylko do wybranych stron np. facebook.com, pudelek.pl
najlepiej sprawdzi się edycja 'hostów’
Po co blokować strony?
Dla kogoś
By wymusić korzystanie tylko z określonych stron przez pracowników / klientów.
Dla siebie
By ułatwić pracę (koncentracja zamiast rozproszenia).
Wiele osób jest przyzwyczajonych do nieustannego sprawdzania facebooka, pudelka, maila .. co zabija produktywność.
Często staje się to nawykiem, którego nie kontrolujesz. Dzięki zablokowaniu strony szybko Ci się przypomni, że miałeś/miałaś pracować 🙂
Niezależnie od celu, poniżej dowiesz się jak zablokować strony.
Poznasz również plusy i minusy wybranych metod.
Co polecam?
- Edycja pliku hosts
- Blokada przez rozszerzenie przeglądarki
- Pi-Hole! (trudna instalacja? 🙂
Blokada przez dodatek do przeglądarki
Jeśli masz problem, ze zbyt częstym sprawdzania 'walla’, maila.
To zawsze możesz zainstalować odpowiedni dodatek np. Impulse Blocker (Firefox).
Obsługa jest banalna.
Wchodzisz na stronę, kilkasz 'blokuj’.
Następnym razem gdy odwiedzisz tą samą stronę np. facebook.com, to zobaczysz.
Stronę możesz łatwo odblokować.
Tutaj chodzi o przerwanie tzw pętli nawyku, a nie o blokadę możliwości wejścia na stronę.
Dzięki temu wiesz, że próbowałeś/próbowałaś.
StayFocusd (przeglądarki chromopodobne)
StayFocused w Google Web Store
Motion (przeglądarki chromopodobne)
https://www.inmotion.app/
Uwaga: Motion wycofał darmowe konta :/
Adblock Plus, uBlock Origin, Adguard
Dodatki do przeglądarki do blokowania reklam np. Adblock Plus, uBlock Origin, Adguard powalają na blokowanie dowolnych stron.
Warto dodać np. strony które wykorzystują oszuści!
Taką listę publikuje CERT Polska:
http://hole.cert.pl/domains/domains_adblock.txt
(w formacie Adblock Plus, uBlock Origin, Adguard, aktualizowane co 5 minut)
Więcej info na stronie CERTu
Blokada wybiórcza
Edycja „hostów”
Najlepsza metoda gdy chcesz zablokować dostęp konkretnych stron np. do facebook.com
Trudna do zmiany przez użytkownika, wymaga uprawnień administracyjnych (tzn „uruchom jako administrator”)).
W tym celu należy edytować plik hosts
https://pl.wikipedia.org/wiki/Hosts
Windows:
Otwórz notatnik jako administrator i otwórz plik:
%SystemRoot%\system32\drivers\etc\hosts
Uwaga do edycji pliku hosts niezbędne są ustawienia administratora!
Dodaj linijki w formacie, tak by w każda linia zaczynała się od
- „0.0.0.0” lub „127.0.0.1”
- ” ” – przerwa – jedna spacja lub więcej
- nazwa domeny którą chcesz zablokować
dla np. adresu https://www.facebook.com/pages/?category=your_pages, domena to „www.facebook.com„.
0.0.0.0 facebook.com
0.0.0.0 web.facebook.com
Jeśli chcesz wyłączyć regułę („zakomentować”) – dodaj znak „#” na początku linii.
System zignoruje wszystko co napiszesz po znaku #.
Dzięki temu gdy użytkownik spróbuje otworzyć stronę facebook.com, to komputer nie wyśle zapytania do serwerów facebooka.
W konsekwencji tego użytkownik nie zobaczy danej strony.
127.0.0.1 czy 0.0.0.0?
Są to specjalne adresy IP (jest ich więcej).
Adres 0.0.0.0 z definicji jest 'nierutowalny’, używa się go by oznaczyć nieważny/nieznany/nieistniejący cel.
Czyli gdy podasz taki adres w hosts – twój komputer – nie będzie szukał innego komputera (serwera)!
Adres 127.0.0.1 – to adres tak zwanego sprzężenia zwrotnego (localhost). Używa się go jako adres aktualnie używanego komputera.
Gdy taki adres IP podasz w hosts, twój komputer wyśle zapytanie do siebie! Jeśli przypadkiem masz zainstalowany i uruchomiony serwer, to możesz zobaczyć 'swoją stronę’ ). Prawdopodobnie nie ma tam, żadnego serwera www, dlatego użytkownik zobaczy jedynie informację o błędzie.
Możesz użyć adresu IP: 0.0.0.0 lub 127.0.0.1. Jednak 0.0.0.0 zdaje się być lepszy wyborem.
Co można zablokować?
Wszytko co chcesz.
Najczęściej blokuje się strony z:
- reklamami,
- złośliwym oprogramowaniem,
- porno,
- hazardem,
- social media,
- fake newsami.
W internecie istnieje wiele gotowych list np.
- Steven Black’s ad-hoc list
- AdAway
- add.2o7Net
- add.Dead
- add.Risk
- add.Spam
- Mitchell Krog’s – Badd Boyz Hosts
- hostsVN
- KADhosts
- Malware Domain List
- MVPS hosts file
- Dan Pollock – someonewhocares
- Tiuxo hostlist – ads
- UncheckyAds
- URLHaus
- yoyo.org
- i wiele wiele innych
A gdyby tak połączyć wszystkie reguły z powyższych list?
Są osoby które to już zrobiły.
Korzystając z list z: GitHub.com/StevenBlack nie musisz nic instalować!
Listy zostały już połączone (chyba, że chcesz wygenerować własną unikalną kombinację).
Dodatkowo warto dodać listę stron wykorzystywanych do oszustw publikowany przez nasz polski CERT!
Lista w formacie pliku hosts: http://hole.cert.pl/domains/domains_hosts.txt (lista aktualizowana co 5 minut).
Listy dostępne są również w innych formatach np Adblock Plus, uBlock Origin, Adguard / XML / JSON/ TSV / …
https://www.cert.pl/news/single/ostrzezenia_phishing/
Twoje dane ktoś może ukraść! Konsekwencje mogą być tragiczne! (np. ktoś może wziąć na ciebie kredyt). Dane ktoś może ukraść od Ciebie, w trakcie przesyłania lub z serwisu. Czy wiesz jak się zabezpieczyć?
Blokada wszystkich stron, oprócz ..
Jak zablokować wszystkie strony oprócz wybranych?
Najlepiej skorzystać z ustawień proxy.
To straszna metoda, ja nie musisz, to nie korzystaj 🙂
W tym celu utwórz plik na dysku
proxy.pac
function FindProxyForURL(url, host) {
if (dnsDomainIs(host, ".dozwolona-strona.pl")) {
return "DIRECT";
}
return "PROXY http://127.0.0.1:18080";
} // End of function
Zmień „.dozwolona-strona.pl” na nazwę domeny strony na którą mogą wchodzić użytkownicy.
Jeśli twoja strona posiada adres:
http://www.starthere.pl/
to wpisz:
„.starthere.pl”
zwróć uwagę na „.” (kropkę) na początku.
dzięki tej kropce, możliwe będzie wejście również na tzw. subdomeny czyli np. na adres 'starthere.pl’, 'www.starthere.pl’.
Jeśli chcesz zezwolić na
function FindProxyForURL(url, host) {
if (dnsDomainIs(host, ".domena-1.pl")) {
return "DIRECT";
}
if (dnsDomainIs(host, ".domena-2.pl")) {
return "DIRECT";
}
if (dnsDomainIs(host, ".domena-3.pl")) {
return "DIRECT";
}
return "PROXY http://127.0.0.1:18080";
} // End of function
Możesz dodać wiele sekcji
if (dnsDomainIs(host, „.domena-3.pl„)) { return „DIRECT”; }
jednak pamiętaj, że muszą się znaleźć powyżej lini z
return „PROXY http://127.0.0.1:18080”;
Metoda działa w Chrome, Firefox, Internet Explorer i innych przeglądarkach (choć może być potrzebna dodatkowa konfiguracja)
Przejdź do ustawień PROXY
W ustawieniach proxy, ustaw automatyczną konfigurację
i podaj ścieżkę do pliku zaczynająć od „File://”.
Zatem jeśli twój plik znajduje się w C:\proxy.pac
to wpisz
File://C:/proxy.pac
W przypadku linuxa, jeśli twój plik znajduje się w „/home/starthere/block.pac” ( to wpisz „File:///home/starthere/block.pac” )
UWAGA: Chrome i internet explorer domyślnie używają systemowych ustawień PROXY.
By ustawienia działały również w firefoxie.
Przejdź do zaawansowanych ustawień firefoxa
Następnie wybierz ustawienia połączeń i „Użyj systemowych ustawień proxy”
Więcej o konfiguracji proxy
https://developer.mozilla.org/en-US/docs/Web/HTTP/Proxy_servers_and_tunneling/Proxy_Auto-Configuration_(PAC)_file#dnsDomainIs(host, domain)
Możliwe problemy
Niektóre strony mogą przechowywać swoje zasoby w innych domenach.
Przykładem może być youtube.com.
Ustawienia proxy pozwalają na połączenia z youtube.com.
Strona się otwiera jednak brakuje obrazków, wideo również się nie odtwarza!
By strona działała prawidłowo należy dodać wszelkie domeny zależne!
W przypadku youtube, to absolutne minimum to:
- youtube.com
- ytimg.com
- ggpht.com
- googlevideo.com
Dlatego pamiętaj by dodać wszystkie serwery (domeny) na których znajdują się zasoby zależne.
Wypisanie wszystkich niezbędnych domen może być żmudne / trudne.
Nawet niektórzy operatorzy sobie nie radzą.
Przykładowo, w przypadku braku płatności za internet – dostęp do internetu może być ograniczony tylko do strony operatora i możliwości zapłaty.
Kilkasz 'zapłać’, PayU, wybierasz swój bank i … psikus! (strona zablokowana).
Jako ciekawostkę dodam, że firewalle w dużych firmach działają na zasadzie 'white list’ (lista tego co można), a nie 'black list’ (tego co nie można). Takie listy mają tysiące / miliony rekordów i nieraz są aktualizowane kilka razy dziennie 😀
Blokada dostępu na poziomie Rutera
Trudne do obejścia, wymaga dostępu do rutera (login/hasło) oraz odpowiedniego rutera.
Możliwe obejście: 'tunelowanie połączęń przez inny serwer’ (zaawansowane, potrzebny dostęp do VPN).
Niektóre rutery (~urządzenie dzięki któremu masz internet) umożliwiają wprowadzenie zakazanych, lub dozwolonych adresów.
Jeśli ruter pozwala na taką konfigurację, wtedy wszystkie urządzenia które się łączą z tym urządzeniem będą miały ograniczony dostęp.
W praktyce, w domowych routerach – nie zablokujesz!
Dla Routerów: MikroTik/RouterOS
CERT Polska publikuje listę niebezpiecznych stron.
Lista ostrzeżeń zawierająca wykaz witryn stanowiących zagrożenie dostępna jest jako następujące pliki:
https://www.cert.pl/news/single/ostrzezenia_phishing/
…
format .rsc, ograniczony do 4096 bajtów, dla systemów MikroTik/RouterOS: http://hole.cert.pl/domains/domains_mikrotik.rsc
Istnieją dodatkowe 'paczki’ do routerów np. z OpenWrt (paczka: ad-blocking).
Taką blokadę użytkownik może jedynie ominąć 'tunelując’ komunikację (VPN).
Działa to na tej zasadzie, że użytkownik za pomocą specjalnego oprogramowania nawiązuje szyfrowane połączenie ze zdalnym serwerem. Po nawiązaniu połączenia, użytkownik prosi swój serwer np. o pobranie strony xyz. Serwer pobiera stronę i przesyła zaszyfrowaną do użytkownika. Nikt po drodze nie wiem jaka została przesłana wiadomość, ani o jaką stronę pytał użytkownik.
Zatem jeśli użytkownik będzie miał możliwość 'tunelowania’ połączeń, to może ominąć blokadę połączeń.
Z reguły servery VPN są płatne Serwery. Nieraz korzysta się z nich w celu zwiększenia prywatności w przypadku braku zaufania np. do lokalnej sieci. Dostępne są również darmowe servery VPN (kosztem np. prywatności) np. Hotspot Shield Free VPN.
Niektóre mogą mieć trochę inny model biznesowy np. ProtonVPN, Windscribe, Betternet, Hide Me.
Być może nie potrzebujesz VPNa. W czym pomoże a w czym nie. Nie wszystko działa jak w reklamie! Poznasz polecane VPNy darmowe i płatne oraz inne substytuty.
Blokada dostępu na serwerze DNS.
Gdy wpisujesz w przeglądarce adres np. starthere.pl to twój komputer musi ustalić gdzie znajduje się ta strona.
W tym celu pyta się serwera DNS gdzie znajduje się wspomniana strona. W odpowiedzi twój komputer dostaje adres.
Teraz wystarczy zgłosić się do odpowiedniego komputera by ten udostępnił nam stronę.
Przypomina to sytuację, gdy jesteś na wakacjach i chciałbyś zobaczyć np. Pałac Kultury i Nauki, by dojechać do celu najpierw musisz się dowiedzieć gdzie znajduje się dane miejsce, ponieważ nazwa nie oznacza miejsca. Tak samo gdybyś chciał się wybrać do Tadż Mahal, Petry, Chichén Itzá.
Blokada dostępu może polegać, na 'oszukaniu’ klienta na poziomie pytania o lokalizację.
To znaczy dostanie błędną informację o lokalizacji.
Właśnie z tego triku można skorzystać na poziomie pliku hosts (tylko jeden komputer).
Można skorzystać z serwera DNS który umożliwia filtrowanie np. OpenDNS.
DNSy można ustawić w ustawieniach systemu dla danego komputera lub w ustawieniach routera (każdy router).
Usługu operatora
Istnieje wiele usług typu „Bezpieczny internet”.
Pi Hole
Bloker reklam, trakerów działający na poziomie DNS!
W ten sposób możesz zablokować strony nawet na wszystkich swoich urządzeniach!
Nie musisz instalować żadnych dodatków do przegladarki itd. Zatem blokowanie reklam będzie działać np na telefonie, czy na safari 🙂 czy w przeglądarkach nie pozwalających na instalację blokerów (kiedyś Google chciało zablokować możliwość blokowania w chrome, ale się z tego wycofało).
Dodatkowo w przeciwieństwie do adbloków, takie rozwiązanie jest niewidoczne dla stron.
Zatem nie zobaczysz komunikatu: „Wyłącz bloker reklam”.
Gdzie można zainstalować?
- Na swoim komputerze
w przypadku windowsa (trudniej)
w przypadku dystrybucji linuksa (łatwiej, lokalnie lub kontener dokera) - Na serwerze NAS (jeśli posiadasz, to niektóre pozwalają na jego instalację)
- Urządzenie dedykowane (działa nawet na najprostrzym „raspberry pi zero”)
Uwaga: Pi-hole nie da sie zablokować reklam z YouTube (nie ma sensu nawet szukać listy!).
Tzn może znajdziesz jakąś listę, ale może blokować też niektóre nagrania, albo będzie nieaktualna, lub szybko się zdeaktualizuje! Do tego trzeba użyć standardowego np. uBlock orgin, czy vanced (dla androidów) (info).