Каморка

Marmot писал(а):

Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.

Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking

Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате

Marmot писал(а):

Stanislav писал(а):Почему клеартекстом? Я тебе не соврал - ФТП с экплисит секьюрити. (Я предполагаю, что это потому, что для ФТП легко сконфигурить тюрягу для многаюзеров и експлисит требует только 21 порт, для ФТП через ССХ, которому нужен тоже только один порт, с ченжрутом надо поковыряться )
...
Про сервер не знаю - это у получателей, у нас клиентуха - WinSCP - там можно выбрать протокол.

Ничо не понял, зачем тебе тюряга с ченджрутом, когда ты с винды работаешь...

У меня - клиент, я только предполагаю как сервер устроен и чем это мотивировано

Marmot писал(а):

Stanislav писал(а):А я вот плохо понимаю, как они конкретно собираются перехватывать этот самый клеартекст.

Так ты или разберись, почему такие требования, или просто выполняй, то что тебе говорят, вместо того, что бы на каморке такие вопросы задавать... А то потом окажешься крайним, и попаболь будет очень долгой...

Мне не жалко поставить шифрование - у меня на Заббиксе даже стрелка осцилографа не качнется от этого
Чиста теоретический интерес.

Stanislav писал(а):

Marmot писал(а):

Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.

Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking

Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате

Ха-ха-ха, т.е. MITM с каким угодно левым сертификатом может свободно читать ваш трафик?
Кому нафиг нужен такой TLS???
Кстати, а что, у провинции даже нету своего собственного CA? Для внутреннего пользования...

Marmot писал(а):

Stanislav писал(а):

Marmot писал(а):

Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.

Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking

Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате

Ха-ха-ха, т.е. MITM с каким угодно левым сертификатом может свободно читать ваш трафик?
Кому нафиг нужен такой TLS???
Кстати, а что, у провинции даже нету своего собственного CA? Для внутреннего пользования...

Там у тебя про раутинг, а не про мена.
И кто будет поддерживать этот СА? У меня свой СА есть, но это только ЛТСА-вайд.

Психологический практикум. (с)

Он говорил ей, что любит её.
Вставьте слово "только" в любое место данного предложения и смотрите как оно меняет смысл... (с) анекдот.ру

Stanislav писал(а):Психологический практикум. (с)

Он говорил ей, что любит её.
Вставьте слово "только" в любое место данного предложения и смотрите как оно меняет смысл... (с) анекдот.ру

Он говотолькорил ей, что любит её.
Он говорил ей, что лютолькобит её.
Он говорил ей, что любит етолькоё.

Почти в тему
UBC, SFU allegedly hacked by Russian intelligence-backed internet pirates

https://www.vancouverisawesome.com/vanc ... te-1986779

LeoV писал(а):

Stanislav писал(а):Психологический практикум. (с)
Он говорил ей, что любит её.
Вставьте слово "только" в любое место данного предложения и смотрите как оно меняет смысл... (с) анекдот.ру

Он говотолькорил ей, что любит её.
Он говорил ей, что лютолькобит её.
Он говорил ей, что любит етолькоё.

Ну что ж... Законы Мерфи в действии!
Даже если что-то не может быть понято неправильно, все равно найдутся люди, которые поймут все неправильно

Vims писал(а):Почти в тему
UBC, SFU allegedly hacked by Russian intelligence-backed internet pirates
https://www.vancouverisawesome.com/vanc ... te-1986779

А что тут удивительного?
Наша тетко-секьюрити-манагер наверняка в БСИТ училось...
А еще у нас работала девочка и училась в БСИТ на программера - я ей помогал уроки делать. Так вот, я ее спросил - а знаешь ли ты? чем отличается ЮДП от ТСП? Она подумала и сказала - ТСП лучше! Чем лучше? - спрашиваю. Вообще лучше - это нам на занятиях сказали.

Stanislav писал(а):

Marmot писал(а):

Stanislav писал(а):

Marmot писал(а):

Stanislav писал(а): Ну... это обычное бла-бла-бла... Меня интересуют детали - как ты ДНС поменяешь, что ты будешь делать с файрвольными рулами, привязанными к конкретным ИП, как ты запихнешь мэна в самый миддл.

Ну чож ты сразу не написал по привязку IP
тогда вот так https://en.wikipedia.org/wiki/BGP_hijacking

Напряженно пытаюсь понять, как ТЛС, который, в общем, сессионный уровень, поможет на уровне маршрутизации.
Технически, сертификат (домен валидейшн) помог бы, но эти му....
мужи государственные решили съэкономить именно на сертификате

Ха-ха-ха, т.е. MITM с каким угодно левым сертификатом может свободно читать ваш трафик?
Кому нафиг нужен такой TLS???
Кстати, а что, у провинции даже нету своего собственного CA? Для внутреннего пользования...

Там у тебя про раутинг, а не про мена.
И кто будет поддерживать этот СА? У меня свой СА есть, но это только ЛТСА-вайд.

Че то я не врубаюсь. Коммерческий сертификат действительно не нужен в данной ситуации. В минфине на сервере сгенерировать само подписанный серртификат. В Нью Весте его импортировать на клиента, он теперь надежный. Ежели трафик заворачивается на левый сайт - то вылетает ошибка что сертификат незнакомый. Все, траффик слямзили но попытка ссл соединения првалилась. Нешифрованный трафик будет прочитан. Вообще Станислав вы очень странно мыслите. Если вы не представляете как ваш трафик слямзят то это не значит что не найдется кто то кто это вообразит. Вы фильм Итальянская работа смотрели? Какая там была фраза - 'I told you - he has no imagination'.
Вообще тут даже и думать особенно нечего - пересылка через публичный иентернет ПАйАй в нешифрованном виде есть прямое нарушение провинциального и Федерального закона о защите частной жизни. фтпс традициооно испольнуют в правительстве, он логично организован, тот же фтп но с буквой с. Ежели все правильно натроено то нету разницы что крипртографически сильнее - фтпс или ссх.

Vovchik писал(а):

simon писал(а):

Waterbyte писал(а):
Так были уже примеры, причем и проигранные обманутыми в суде

И где в этой статье сказано что дело было проигранно? Суда ж не было.

около пяти лет назад на форуме была ссылка на подобную историю,( которую я привел навскидку лишь в качестве примера), с судом

simon писал(а):

Vovchik писал(а):

simon писал(а):

Waterbyte писал(а):
Так были уже примеры, причем и проигранные обманутыми в суде

И где в этой статье сказано что дело было проигранно? Суда ж не было.

около пяти лет назад на форуме была ссылка на подобную историю,( которую я привел навскидку лишь в качестве примера), с судом

Либо нужна оригинальная статья, либо ваш аргумент - это пример из известного амерского анекдота - Мой сосед Билл вчера в Нью Йорке на бирже выиграл миллион.

лёва, научите, пожалуйста, народ лечиться от ваших заразных скобок. а то мне уже приписывают то, о чём я ни ухом, ни рылом.

Waterbyte писал(а):лёва, научите, пожалуйста, народ лечиться от ваших заразных скобок. а то мне уже приписывают то, о чём я ни ухом, ни рылом.

тут все и без скобок знают, кто что может сказать

Vovchik писал(а): Че то я не врубаюсь. Коммерческий сертификат действительно не нужен в данной ситуации. В минфине на сервере сгенерировать само подписанный серртификат. В Нью Весте его импортировать на клиента, он теперь надежный. Ежели трафик заворачивается на левый сайт - то вылетает ошибка что сертификат незнакомый. Все, траффик слямзили но попытка ссл соединения првалилась. Нешифрованный трафик будет прочитан. Вообще Станислав вы очень странно мыслите. Если вы не представляете как ваш трафик слямзят...

Это не их путь. Они поставили "Лет'с энкрипт", Винды его не понимают и теперь мы каждые три месяца... получаем еррор мессадж, что отчет не ушел, деффачко, ответственная за отчет, идет и ручками акцептит сертификат (разумеется, нисколько не задумываясь)... Так что незнакомый сертификат - не проблема.
К тому же, "Лет'с энкрипт" дает сертификат каждому, кто попросит и на что попросит - главное, чтобы они смогли прочитать ответ с "вашего" сервера, который, как вы понимаете, в случае фальсикации БГП пройдет на ура. Опять же, в случае фальсификации БГП, то даже если есть ССЛ, то я просто ставлю ССЛ оффлоад, запрашиваю серт с Лет'с энкрипт и легко и непренужденно дешифрую трафик.
Теперь врубились?

Афигеть. Меня бы за такое пристрелили бы. Ну нет, не те времена - впаяли бы пятерочку. Они там совсем что ли е..ись? Вы только что и описали атаку. У меня на стенке лозунг висит - 'No freeware, no shareware, only paid software' . А вы не пробовали им на это намекнуть? Можно написать жалобу Главному Аудитору, глядишь ппроизойдет мощный карьерный рост.