Перейти к содержимому


Фото
- - - - -

Офисный контроль, улучшения


  • Please log in to reply
38 ответов в этой теме

#21 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 28 Апрель 2021 - 14:56

Ну, в разношёрстной среде, где есть станции в домене, станции не в домене – установить этот самый сертификат вряд ли будет просто. И особенно с учётом нынешней завязки на ГОСТ.


Семь раз отрежь – один раз проверь

#22 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 28 Апрель 2021 - 16:22

Afalin, а если через клиентскую часть, без привязки к домену?


But a thing of beauty, I know, will never fade away...


#23 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 28 Апрель 2021 - 16:27

Afalin, а если через клиентскую часть, без привязки к домену?

А не получится совсем без привязки к домену. Существует много софта, который пользуется системными рутами, и вот я подозреваю, что в обход доменных политик в эти системные руты вряд ли что-то можно положить.


Семь раз отрежь – один раз проверь

#24 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 28 Апрель 2021 - 17:46

Ну, в разношёрстной среде, где есть станции в домене, станции не в домене – установить этот самый сертификат вряд ли будет просто. И особенно с учётом нынешней завязки на ГОСТ.

Но без SSL вся сетевая защита напоминает фантом из прошлого.

Прикрепленный файл  Traf1.png   12,24К   2 Скачано раз



#25 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 29 Апрель 2021 - 11:15

Но без SSL вся сетевая защита напоминает фантом из прошлого.

Да она в любом случае фантом из прошлого.


Семь раз отрежь – один раз проверь

#26 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 29 Апрель 2021 - 11:17

Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.


But a thing of beauty, I know, will never fade away...


#27 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 29 Апрель 2021 - 11:23

Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.

Да, в каких-то случаях какую-то часть хотелок реализовать можно. Но в любом случае, что-то более сложное, чем бан по IP, – это атака mitm, на успешность которой уповать не стоит.

Да, до TLS 1.3 ещё можно было ещё на SNI смотреть, но это уже в прошлом.


Семь раз отрежь – один раз проверь

#28 Den-mp3

Den-mp3

    Member

  • Posters
  • 121 Сообщений:

Отправлено 29 Апрель 2021 - 11:44

Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.

и через браузер тоже?



#29 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 29 Апрель 2021 - 11:54

Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.

и через браузер тоже?

Угу.


But a thing of beauty, I know, will never fade away...


#30 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 04 Май 2021 - 16:23

Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.

Да, в каких-то случаях какую-то часть хотелок реализовать можно. Но в любом случае, что-то более сложное, чем бан по IP, – это атака mitm, на успешность которой уповать не стоит.
Да, до TLS 1.3 ещё можно было ещё на SNI смотреть, но это уже в прошлом.

кстати да, в грядущем апдейте win10 появится поддержка tls 1.3 а значит и у нас клиент будет на сайты ходить по 1.3 там. а почему именно 1.3, не encrypted sni как таковой?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#31 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 04 Май 2021 - 16:33

Ну строго говоря да, Encrypted SNI или Encrypted Client Hello, а не весь TLS 1.3 в целом.

Но, думается, поддерживаться эти расширения будут массово.


Семь раз отрежь – один раз проверь

#32 Dmitry Mikhirev

Dmitry Mikhirev

    Advanced Member

  • Dr.Web Staff
  • 591 Сообщений:

Отправлено 04 Май 2021 - 17:00

Ну строго говоря да, Encrypted SNI или Encrypted Client Hello, а не весь TLS 1.3 в целом.
Но, думается, поддерживаться эти расширения будут массово.

На данный момент ECH всё ещё не стандартизирован и на серверной стороне не поддерживается почти никем, кроме, кажется, Cloudflare. Так что наше дорогое правительство имеет все шансы успеть зарезать его до массового внедрения.

#33 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 04 Май 2021 - 18:57

по ESNI идут дебаты по всему миру, большой брат и приближенные против


Сообщение было изменено Konstantin Yudin: 04 Май 2021 - 18:57

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#34 basid

basid

    Guru

  • Posters
  • 4 476 Сообщений:

Отправлено 05 Май 2021 - 09:53

Я хоть и не большой, но тоже против. Достала уже вся эта истерия, разгоревшаяся из-за рекламных прибылей гугла.



#35 Dmitry Mikhirev

Dmitry Mikhirev

    Advanced Member

  • Dr.Web Staff
  • 591 Сообщений:

Отправлено 05 Май 2021 - 12:19

Я хоть и не большой, но тоже против. Достала уже вся эта истерия, разгоревшаяся из-за рекламных прибылей гугла.

Тут какая-то очень сложная алогическая цепочка. Не осознал.

#36 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 05 Май 2021 - 12:34

Dmitry Mikhirev, солидарен.

Так что наше дорогое правительство имеет все шансы успеть зарезать его до массового внедрения.
В ОК рамках так или иначе придётся резать независимо от государства.

But a thing of beauty, I know, will never fade away...


#37 Dmitry Mikhirev

Dmitry Mikhirev

    Advanced Member

  • Dr.Web Staff
  • 591 Сообщений:

Отправлено 05 Май 2021 - 12:45

В ОК рамках так или иначе придётся резать независимо от государства.

Если ECH всё же станет распространённым, это равноценно предложению сейчас резать все HTTPS-соединения без разбора. Если веб для работы не нужен — режьте на здоровье, если нужен — начальство Вас не поймёт.

#38 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 05 Май 2021 - 13:25

Dmitry Mikhirev, для обратной совместимости всяко что-то будет, и MITM с сертификатом и "своим" DNS никто не отменял.


But a thing of beauty, I know, will never fade away...


#39 Kroler

Kroler

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 12 Май 2021 - 20:33

Немного непонятно, как разговор ушёл в TLS 1.3 ну да ладно.

 

Ну, в разношёрстной среде, где есть станции в домене, станции не в домене – установить этот самый сертификат вряд ли будет просто. И особенно с учётом нынешней завязки на ГОСТ.

 

Собственно, разве для недоменных станций сложно засунуть импорт корневого доменного серта в установочный батник на флешку или куда ещё? Во время установки самого веба и офисных приложений будет происходить импорт этого сертификата.

А при чём тут завязки на ГОСТовские серты? Все браузеры умеют в RSA, а сайты на ГОСТе в белом списке и их трафик вскрывать не нужно




Читают тему: 2

0 пользователей, 2 гостей, 0 скрытых