Sergey Gilfanov

VIP
  • Публикаций

    9 509
  • Зарегистрирован

  • Посещение

1 Подписчик

Информация о Sergey Gilfanov

  • Звание
    Академик
  • День рождения 06.11.1976

Контакты

  • Сайт
    http://
  • ICQ
    0

Информация

  • Пол
    Мужчина

Посетители профиля

3 368 просмотров профиля
  1. <sarcasm> А уж люки на дорогах как хорошо видны - мешают же наслождаться красиво уложенной мостовой: весь узор портят. А наличие машин и пешеходов архитектуру домов мешает разглядывать... Немедленно убрать. </sarcasm>
  2. Это невозможно. "Госы" потому и "госы", что чтобы они не делели, на это тратятся деньги налогоплательщиков. А внедряться волшебным способом, само по себе, ничего не умеет.
  3. Проблема не в этом, а в том, что старые идеи не отменяют. Ставим всем антивирусы? Ну хорошо, а как насчет того, чтобы теперь блокировки по поводу "защиты детей от информации" отменить? Антивирусы ведь отлично с этим справляются - защищать от случайного посещения сайтов на уровне провайдера больше не надо. А те, кто не случайно на те сайты идет, и так блокировки обходит.
  4. Ссылки в статьях лучше раскручивать. до оригинала. Оно же только про голос и телефонию? Про эту часть, вроде, никто и сомневался, что выполнимо, хотя и порядком дорого.
  5. от атаки на ssh - это отдельно думать надо, Но правильное обращение с ключами и ограничениями личного корневого CA хотя бы защитит от возможных MitM при заходе на сторонние критические сайты.   Ага. Историческая справка.
  6. Паранойя - с тех пор, как в баннеры nag-а пару(кажется) лет назад зловреда посадили с атакой на ключи ssh-а. Очень конкретная атака была именно на машины админов сетей. Клавиатурный жучек на вешается при физическом присутствии. А атака на машину админа, увы, удаленная.
  7. Откуда потому ключ упрут и MitM кому-нибудь, кто этому сертификату доверяет, сделают. Или даже самому админу, когда он какой-нибудь критический сервер вроде сервиса регистратора доменов, пойдет. Ну геморройно правильно с ключами обращаться, что поделаешь. Если 'грохнут' - то заморачиваться с CA смысла нет. Просто для конечной точки самоподписанный сертификат сделать и с ним в браузере согласиться.
  8. Да, не доверяем. Во всяком случае, не до конца. Админская машина - вкусная цель для целевой атаки. Не надо создавать лишние возможности. Правильно обращаться с ключиком от этого своего CA - достаточно трудно, поэтому лучше принять меры, чтобы при его компрометации ущерб был поменьше. Корневой - это тот, который в цепочке подписей в начале стоит и про который мы сказали, что мы доверяем. Обычно они да 'доверяем всегда для всех доменов', но для личного использования можно и нужно ограничивать. Это можно сделать как на промежуточном, так и на корневом. Пример от Мозиллы. Смотрим внимательно на шаг 3 в 'Generate your CA Root' Что является рекомендуемой практикой и для корпоративных/личных CA. Корневой сертификат лежит в сейфе и достается где-то раз в несколько лет, чтобы более короткоживущие сертификаты промежуточных subordinate CA подписать. И уже они используется в работе для генерации сертификатов для конечных точек.
  9. Вообще-то нет. Правильный набор расширений и ограничений довольно трудно найти. Оно, конечно, и без этого обычно работает, то то же Name Constraints хорошо бы ставить, чтобы получившийся корень на весь интеренет не распространялся, только на свои домены. Если используются промежуточные CA, то все еще больше усложняется. Это все в подобных HOWTO-ках редко пишут. А ведь тонкостей, которые нужны, чтобы не выстрелить себе в ногу много.
  10. Теоретически, 'Name Constraints' можно в CA сертификате поставить, что оно только для конкретного домена, а не на весь Интернет. Правда, от полоскания это не очень поможет.
  11. [недуменный взгляд со стороны клиента]: В СБОЛ для частника - справа 'личное меню' > 'интернет заказы'. Видим список выставленных счетов. Что-то мне подсказывает, что счет для этого списка можно прямо в онлайне создать. Т.е. сценарий такой: 1) клиент в личном кабинете провайдера вводит удобную ему сумму 2) провайдер ее проверяет 3) в личном кабинете СБОЛ появляется счет 4) клиент его оплачивает. И никаких проблем с выходом суммы за допустимый диапазон, нет? Про QR-код для платежки, который тоже можно прямо в личном кабинете провайдера сделать после шага (2), я уже говорил.
  12. Не понимаю я таких желаний. Если для клиентов - то можно и нормальный взять. Они не настолько дорогие. Если цену размазать на всех этих клиентов - сколько получится?
  13. Ага. В портале госуслуг выдать сертификат для использования в WiFi. А точки подключения пускай просто валидность предоставленного сертификата проверяют. Стандартизировано. Есть достаточно подробная инструкция. Там OAuth и еще парочка методов есть.
  14. Так все для убоства абонента же. Они раз учетку получил - и везде пользуешься. </sarcasm> Интересно только, насколько они халтурить будут и сколько они граблей соберут. Надеюсь, в результате не нужно будет логин-пароль от госуслуг при прицеплении к WiFi вводить.
  15. Ну я и говорю - порочный круг. Операторы за пирингом не следит и не хотят его нормально делать -> клиенты не хотят на межоператорские разборки попадать, подключаются к одному -> пиринг становится "так не очень оно и надо".