Using free public WiFi - real risk vs BullS..t

[Marmot]

Т.е. это работает только на винде, которая в твоем домене, в общем случае оно рабоатть не будет...

Вовсе нет - любой комп работает и Линюх и Джава тоже!
Надо только рут и интермедиейт запихнуть в Виндовз сторе / Линукс /etc/pki сторе / cacerts в jre/lib/security.

ручками, правильно? Именно об этом мы тебе тут с Вовчиком и толкуем, а ты упорствуешь...
Если к вам прийти со своим лаптопом и попробовать использовать интернет, он станет ругаться грязными словами...

[Marmot]

У нас все аппы общается по ХТТПС, даже контейнеры и датабазе.

И вы их мониторите

PS а у нас вот так https://github.com/slackhq/nebula

[Stanislav]

Т.е. это работает только на винде, которая в твоем домене, в общем случае оно рабоатть не будет...

Вовсе нет - любой комп работает и Линюх и Джава тоже!
Надо только рут и интермедиейт запихнуть в Виндовз сторе / Линукс /etc/pki сторе / cacerts в jre/lib/security.

ручками, правильно? Именно об этом мы тебе тут с Вовчиком и толкуем, а ты упорствуешь...

Погоди.
Я тебе говорю, что у меня без SCT везде сертификаты работают - к ССЛ инспекшн это отношения не имеет.

[Marmot]

Я тебе говорю, что у меня без SCT везде сертификаты работают - к ССЛ инспекшн это отношения не имеет.

Ты говорил, что любой жулик может читать SSL traffic таким образом.
А мы с Вовчиком тебе говорим что не может.

[Stanislav]

У нас все аппы общается по ХТТПС, даже контейнеры и датабазе.

И вы их мониторите

Нет. Мы про разные вещи уже говорим.
Моя СА работает сама по себе - я ничего не настраивал дополнительно.
Я писал, как бы я организовал перехват ХТТПС трафика паблик ВайФай - это другая пестня - я бы там не стал использовать свою СА - в Фортигейте есть Sub-CA, выпущеный DigiCert

[Marmot]

У нас все аппы общается по ХТТПС, даже контейнеры и датабазе.

И вы их мониторите

Нет. Мы про разные вещи уже говорим.
Моя СА работает сама по себе - я ничего не настраивал дополнительно.
Я писал, как бы я организовал перехват ХТТПС трафика паблик ВайФай - это другая пестня - я бы там не стал использовать свою СА - в Фортигейте есть Sub-CA, выпущеный DigiCert

Ссылку дашь? Как они это предлагают использовать для SSL inspection? Давай, давай, отвечай за базар! Балабол.

[Stanislav]

PS а у нас вот так https://github.com/slackhq/nebula

Я тебе уже говорил, что ты вдрызг проиграешь соревнование по уродливости кода

[Stanislav]

У нас все аппы общается по ХТТПС, даже контейнеры и датабазе.

И вы их мониторите

Нет. Мы про разные вещи уже говорим.
Моя СА работает сама по себе - я ничего не настраивал дополнительно.
Я писал, как бы я организовал перехват ХТТПС трафика паблик ВайФай - это другая пестня - я бы там не стал использовать свою СА - в Фортигейте есть Sub-CA, выпущеный DigiCert

Ссылку дашь? Как они это предлагают использовать для SSL inspection? Давай, давай, отвечай за базар! Балабол.

Какие ссылки? Ты думешь это легально?
Я тебе говорю, как бы я делал.
Вот буду делать - расскажу в личку или ты хочешь, чтобы меня посадили?

[Marmot]

Какие ссылки? Ты думешь это легально?
Я тебе говорю, как бы я делал.

А я тебе говорю, что это не сработает, убеди меня что я не прав.

[Marmot]

Вот буду делать - расскажу в личку или ты хочешь, чтобы меня посадили?

Кому ты балабол сдался, сажать тебя

[Vovchik]

Какие ссылки? Ты думешь это легально?
Я тебе говорю, как бы я делал.

А я тебе говорю, что это не сработает, убеди меня что я не прав.

Еще как легально — если дисклеймер отобрать, типа заделаться этическим хакером. Более того - продемонстрируй атаку, опубликуй и бабло повалит рекой и будет тебе счастья по самые помидоры . Ставлю вопрос ребром — я заваливаюсь к Стасику в офис с айофоном, айпадом, макбуком и виндами. Спорнем что ты не сможешь прочитать мой ССЛ траффик? Только если я не проигнорирую предупреждения от браузера. Скорее всего, я не смогу подключиться к вашему вайфаю без импортирования сертификата и прочих танцев с бубном. Спорнем на пазырь Хеннесси ХО?

[Stanislav]

Какие ссылки? Ты думешь это легально?
Я тебе говорю, как бы я делал.

А я тебе говорю, что это не сработает, убеди меня что я не прав.

Еще как легально — если дисклеймер отобрать, типа заделаться этическим хакером. Более того - продемонстрируй атаку, опубликуй и бабло повалит рекой и будет тебе счастья по самые помидоры . Ставлю вопрос ребром — я заваливаюсь к Стасику в офис с айофоном, айпадом, макбуком и виндами. Спорнем что ты не сможешь прочитать мой ССЛ траффик? Только если я не проигнорирую предупреждения от браузера. Скорее всего, я не смогу подключиться к вашему вайфаю без импортирования сертификата и прочих танцев с бубном. Спорнем на пазырь Хеннесси ХО?

Ты не сможешь подключиться потому, что у нас 802.1х, а если я тебе сделаю аккаунт - меня выгонят с работы.
Впрочем, ты даже в офис завалиться не сможешь.
Но мы ведь начинали с паблик ВайФая в кафешке, что не совсем то же самое, так?

[Marmot]

Но мы ведь начинали с паблик ВайФая в кафешке, что не совсем то же самое, так?

Неумение публично признавать свои ошибки или некомпетентность, один из самых больших грехов, в моем списки таковых...

[Stanislav]

Но мы ведь начинали с паблик ВайФая в кафешке, что не совсем то же самое, так?

Неумение публично признавать свои ошибки, один из самых больших грехов, в моем списки таковых...

На моей СА это работает, весь вопрос в том, чтобы выпустить Sub-CA от паблика или использовать чью-то.
Я тебе сказал - буду имплементировать - попробую - тогда напишу.

[Marmot]

Но мы ведь начинали с паблик ВайФая в кафешке, что не совсем то же самое, так?

Неумение публично признавать свои ошибки, один из самых больших грехов, в моем списки таковых...

На моей СА это работает, весь вопрос в том, чтобы выпустить Sub-CA от паблика или использовать чью-то.
Я тебе сказал - буду имплементировать - попробую - тогда напишу.

Ты сам подумай, кто тебе даст такой CA в руки, как только хоть один такой серификат обнаружат, компашка которая держит для него root сразу может закрываться...
Обнаружат его очень быстро, теже Гуглы за этим следят очень строго.