IA>>> Загоняй http-трафик внутрь IPSEC туннеля! Только так, только IA>>> хардкор! :-) AV>> Зачем глупости пишешь? Этак кто-нибудь может подумать, что IPsec AV>> способен обеспечить надежную защиту канала связи... IA> А с чего бы это ipsec не способен обеспечить? ipsec hijacking в IA> первой десятке гугла не выдает ничего вразумительного.
И не выдаст - никто в здравом уме не будет публиковать не то что полное описание, но даже вектор атаки (собственно, мне только он и известен).
IA> Hе, ну если psk 123 то тут ничего не поможет :-)
В случае rijndael-128-cbc тоже.
IA>>> А на самом деле - не изобретай велосипед. TLS/SSL, сертификат IA>>> от доверенного потребителя и вот это всё. AV>> [наливая пиво и усаживаясь в первом ряду] AV>> Hу-ка, ну-ка... Давай подробнее про сертификаты и доверие к ним :-) IA> А? Что? IC-ZC-RC-NC-Node-Point же,
Выбрали нового RC. Дальнейшие действия?
IA> IC все скидываются на топ-левел сертификат от верисайна.
Без ограничения "Is not a Certificate Authority" в basic constraints?
IA> Приватные ключи *C хранить в сейфе на неэкспортируемой флешке. IA> Хрен кого заставишь, но как концепция - вай нот?
"Это тактическая задача, а я занимаюсь стратегией" // (ц) филин из анекдота
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Не обижайся, если тебя назвали дураком - обижайся, если угадали --- /bin/vi * Origin: http://openwall.com/Owl/ru (2:5020/545)
