Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Все, что вы хотели знать о программизме, но боялись спросить.
Ответить
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Marmot писал(а):
Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.
Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking
Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате :D
Marmot писал(а):
Stanislav писал(а):Почему клеартекстом? Я тебе не соврал - ФТП с экплисит секьюрити. (Я предполагаю, что это потому, что для ФТП легко сконфигурить тюрягу для многаюзеров и експлисит требует только 21 порт, для ФТП через ССХ, которому нужен тоже только один порт, с ченжрутом надо поковыряться :D )
...
Про сервер не знаю - это у получателей, у нас клиентуха - WinSCP - там можно выбрать протокол.
Ничо не понял, зачем тебе тюряга с ченджрутом, когда ты с винды работаешь...
У меня - клиент, я только предполагаю как сервер устроен и чем это мотивировано :D
Marmot писал(а):
Stanislav писал(а):А я вот плохо понимаю, как они конкретно собираются перехватывать этот самый клеартекст. :roll:

Так ты или разберись, почему такие требования, или просто выполняй, то что тебе говорят, вместо того, что бы на каморке такие вопросы задавать... А то потом окажешься крайним, и попаболь будет очень долгой...
Мне не жалко поставить шифрование - у меня на Заббиксе даже стрелка осцилографа не качнется от этого :D
Чиста теоретический интерес.
Аватара пользователя
Marmot
Графоман
Сообщения: 38302
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Marmot »

Stanislav писал(а):
Marmot писал(а):
Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.
Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking
Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате :D
Ха-ха-ха, т.е. MITM с каким угодно левым сертификатом может свободно читать ваш трафик? :what!?: :what!?: :what!?:
Кому нафиг нужен такой TLS???
Кстати, а что, у провинции даже нету своего собственного CA? Для внутреннего пользования...
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Marmot писал(а):
Stanislav писал(а):
Marmot писал(а):
Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.
Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking
Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате :D
Ха-ха-ха, т.е. MITM с каким угодно левым сертификатом может свободно читать ваш трафик? :what!?: :what!?: :what!?:
Кому нафиг нужен такой TLS???
Кстати, а что, у провинции даже нету своего собственного CA? Для внутреннего пользования...
Там у тебя про раутинг, а не про мена.
И кто будет поддерживать этот СА? У меня свой СА есть, но это только ЛТСА-вайд.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Психологический практикум. (с)

Он говорил ей, что любит её.
Вставьте слово "только" в любое место данного предложения и смотрите как оно меняет смысл... (с) анекдот.ру
Аватара пользователя
LeoV
Графоман
Сообщения: 14497
Зарегистрирован: 02 июн 2012, 15:41
Откуда: Графство O'Mан
Контактная информация:

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение LeoV »

Stanislav писал(а):Психологический практикум. (с)

Он говорил ей, что любит её.
Вставьте слово "только" в любое место данного предложения и смотрите как оно меняет смысл... (с) анекдот.ру
Он говотолькорил ей, что любит её.
Он говорил ей, что лютолькобит её.
Он говорил ей, что любит етолькоё.
Аватара пользователя
Vims
Northern Yeti
Сообщения: 21307
Зарегистрирован: 17 фев 2003, 15:53
Откуда: Magadan - Vancouver
Контактная информация:

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vims »

Почти в тему :)
UBC, SFU allegedly hacked by Russian intelligence-backed internet pirates :lol: :lol:

https://www.vancouverisawesome.com/vanc ... te-1986779
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

LeoV писал(а):
Stanislav писал(а):Психологический практикум. (с)
Он говорил ей, что любит её.
Вставьте слово "только" в любое место данного предложения и смотрите как оно меняет смысл... (с) анекдот.ру
Он говотолькорил ей, что любит её.
Он говорил ей, что лютолькобит её.
Он говорил ей, что любит етолькоё.
Ну что ж... Законы Мерфи в действии!
Даже если что-то не может быть понято неправильно, все равно найдутся люди, которые поймут все неправильно :D
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Vims писал(а):Почти в тему :)
UBC, SFU allegedly hacked by Russian intelligence-backed internet pirates :lol: :lol:
https://www.vancouverisawesome.com/vanc ... te-1986779
А что тут удивительного?
Наша тетко-секьюрити-манагер наверняка в БСИТ училось...
А еще у нас работала девочка и училась в БСИТ на программера - я ей помогал уроки делать. Так вот, я ее спросил - а знаешь ли ты? чем отличается ЮДП от ТСП? Она подумала и сказала - ТСП лучше! Чем лучше? - спрашиваю. Вообще лучше - это нам на занятиях сказали.
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Stanislav писал(а):
Marmot писал(а):
Stanislav писал(а):
Marmot писал(а):
Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.
Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking
Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате :D
Ха-ха-ха, т.е. MITM с каким угодно левым сертификатом может свободно читать ваш трафик? :what!?: :what!?: :what!?:
Кому нафиг нужен такой TLS???
Кстати, а что, у провинции даже нету своего собственного CA? Для внутреннего пользования...
Там у тебя про раутинг, а не про мена.
И кто будет поддерживать этот СА? У меня свой СА есть, но это только ЛТСА-вайд.
Че то я не врубаюсь. Коммерческий сертификат действительно не нужен в данной ситуации. В минфине на сервере сгенерировать само подписанный серртификат. В Нью Весте его импортировать на клиента, он теперь надежный. Ежели трафик заворачивается на левый сайт - то вылетает ошибка что сертификат незнакомый. Все, траффик слямзили но попытка ссл соединения првалилась. Нешифрованный трафик будет прочитан. Вообще Станислав вы очень странно мыслите. Если вы не представляете как ваш трафик слямзят то это не значит что не найдется кто то кто это вообразит. Вы фильм Итальянская работа смотрели? Какая там была фраза - 'I told you - he has no imagination'.
Вообще тут даже и думать особенно нечего - пересылка через публичный иентернет ПАйАй в нешифрованном виде есть прямое нарушение провинциального и Федерального закона о защите частной жизни. фтпс традициооно испольнуют в правительстве, он логично организован, тот же фтп но с буквой с. Ежели все правильно натроено то нету разницы что крипртографически сильнее - фтпс или ссх.
Аватара пользователя
simon
Графоман
Сообщения: 14176
Зарегистрирован: 29 июл 2006, 09:31

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение simon »

Vovchik писал(а):
simon писал(а):
Waterbyte писал(а):
Так были уже примеры, причем и проигранные обманутыми в суде
И где в этой статье сказано что дело было проигранно? Суда ж не было.
около пяти лет назад на форуме была ссылка на подобную историю,( которую я привел навскидку лишь в качестве примера), с судом
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

simon писал(а):
Vovchik писал(а):
simon писал(а):
Waterbyte писал(а):
Так были уже примеры, причем и проигранные обманутыми в суде
И где в этой статье сказано что дело было проигранно? Суда ж не было.
около пяти лет назад на форуме была ссылка на подобную историю,( которую я привел навскидку лишь в качестве примера), с судом
Либо нужна оригинальная статья, либо ваш аргумент - это пример из известного амерского анекдота - Мой сосед Билл вчера в Нью Йорке на бирже выиграл миллион.
Аватара пользователя
Waterbyte
Графоман
Сообщения: 47929
Зарегистрирован: 10 авг 2007, 13:43

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Waterbyte »

лёва, научите, пожалуйста, народ лечиться от ваших заразных скобок. а то мне уже приписывают то, о чём я ни ухом, ни рылом.
Аватара пользователя
LeoV
Графоман
Сообщения: 14497
Зарегистрирован: 02 июн 2012, 15:41
Откуда: Графство O'Mан
Контактная информация:

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение LeoV »

Waterbyte писал(а):лёва, научите, пожалуйста, народ лечиться от ваших заразных скобок. а то мне уже приписывают то, о чём я ни ухом, ни рылом.
тут все и без скобок знают, кто что может сказать
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Stanislav »

Vovchik писал(а): Че то я не врубаюсь. Коммерческий сертификат действительно не нужен в данной ситуации. В минфине на сервере сгенерировать само подписанный серртификат. В Нью Весте его импортировать на клиента, он теперь надежный. Ежели трафик заворачивается на левый сайт - то вылетает ошибка что сертификат незнакомый. Все, траффик слямзили но попытка ссл соединения првалилась. Нешифрованный трафик будет прочитан. Вообще Станислав вы очень странно мыслите. Если вы не представляете как ваш трафик слямзят...
Это не их путь. Они поставили "Лет'с энкрипт", Винды его не понимают и теперь мы каждые три месяца... получаем еррор мессадж, что отчет не ушел, деффачко, ответственная за отчет, идет и ручками акцептит сертификат (разумеется, нисколько не задумываясь)... Так что незнакомый сертификат - не проблема.
К тому же, "Лет'с энкрипт" дает сертификат каждому, кто попросит и на что попросит - главное, чтобы они смогли прочитать ответ с "вашего" сервера, который, как вы понимаете, в случае фальсикации БГП пройдет на ура. Опять же, в случае фальсификации БГП, то даже если есть ССЛ, то я просто ставлю ССЛ оффлоад, запрашиваю серт с Лет'с энкрипт и легко и непренужденно дешифрую трафик.
Теперь врубились?
Vovchik
Маньяк
Сообщения: 2755
Зарегистрирован: 20 фев 2003, 09:15
Откуда: Vancouver

Re: Ну что, граждане сисадмины - кто проворонил наши аналиы кала?

Сообщение Vovchik »

Афигеть. Меня бы за такое пристрелили бы. Ну нет, не те времена - впаяли бы пятерочку. Они там совсем что ли е..ись? Вы только что и описали атаку. У меня на стенке лозунг висит - 'No freeware, no shareware, only paid software' . А вы не пробовали им на это намекнуть? Можно написать жалобу Главному Аудитору, глядишь ппроизойдет мощный карьерный рост.
Ответить