Ну, в разношёрстной среде, где есть станции в домене, станции не в домене – установить этот самый сертификат вряд ли будет просто. И особенно с учётом нынешней завязки на ГОСТ.
Офисный контроль, улучшения
#21
Отправлено 28 Апрель 2021 - 14:56
#22
Отправлено 28 Апрель 2021 - 16:22
Afalin, а если через клиентскую часть, без привязки к домену?
But a thing of beauty, I know, will never fade away...
#23
Отправлено 28 Апрель 2021 - 16:27
Afalin, а если через клиентскую часть, без привязки к домену?
А не получится совсем без привязки к домену. Существует много софта, который пользуется системными рутами, и вот я подозреваю, что в обход доменных политик в эти системные руты вряд ли что-то можно положить.
#24
Отправлено 28 Апрель 2021 - 17:46
Ну, в разношёрстной среде, где есть станции в домене, станции не в домене – установить этот самый сертификат вряд ли будет просто. И особенно с учётом нынешней завязки на ГОСТ.
Но без SSL вся сетевая защита напоминает фантом из прошлого.
Traf1.png 12,24К 2 Скачано раз
#25
Отправлено 29 Апрель 2021 - 11:15
Но без SSL вся сетевая защита напоминает фантом из прошлого.
Да она в любом случае фантом из прошлого.
#26
Отправлено 29 Апрель 2021 - 11:17
Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.
But a thing of beauty, I know, will never fade away...
#27
Отправлено 29 Апрель 2021 - 11:23
Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.
Да, в каких-то случаях какую-то часть хотелок реализовать можно. Но в любом случае, что-то более сложное, чем бан по IP, – это атака mitm, на успешность которой уповать не стоит.
Да, до TLS 1.3 ещё можно было ещё на SNI смотреть, но это уже в прошлом.
#28
Отправлено 29 Апрель 2021 - 11:44
Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.
и через браузер тоже?
#29
Отправлено 29 Апрель 2021 - 11:54
Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.
и через браузер тоже?
Угу.
But a thing of beauty, I know, will never fade away...
#30
Отправлено 04 Май 2021 - 16:23
кстати да, в грядущем апдейте win10 появится поддержка tls 1.3 а значит и у нас клиент будет на сайты ходить по 1.3 там. а почему именно 1.3, не encrypted sni как таковой?Да, в каких-то случаях какую-то часть хотелок реализовать можно. Но в любом случае, что-то более сложное, чем бан по IP, – это атака mitm, на успешность которой уповать не стоит.Afalin, ну как сказать, вот на работе надо было телеграм с двачем закрыть - закрыли.
Да, до TLS 1.3 ещё можно было ещё на SNI смотреть, но это уже в прошлом.
Doctor Web, Ltd.
#31
Отправлено 04 Май 2021 - 16:33
Ну строго говоря да, Encrypted SNI или Encrypted Client Hello, а не весь TLS 1.3 в целом.
Но, думается, поддерживаться эти расширения будут массово.
#32
Отправлено 04 Май 2021 - 17:00
На данный момент ECH всё ещё не стандартизирован и на серверной стороне не поддерживается почти никем, кроме, кажется, Cloudflare. Так что наше дорогое правительство имеет все шансы успеть зарезать его до массового внедрения.Ну строго говоря да, Encrypted SNI или Encrypted Client Hello, а не весь TLS 1.3 в целом.
Но, думается, поддерживаться эти расширения будут массово.
#33
Отправлено 04 Май 2021 - 18:57
по ESNI идут дебаты по всему миру, большой брат и приближенные против
Сообщение было изменено Konstantin Yudin: 04 Май 2021 - 18:57
Doctor Web, Ltd.
#34
Отправлено 05 Май 2021 - 09:53
Я хоть и не большой, но тоже против. Достала уже вся эта истерия, разгоревшаяся из-за рекламных прибылей гугла.
#35
Отправлено 05 Май 2021 - 12:19
Тут какая-то очень сложная алогическая цепочка. Не осознал.Я хоть и не большой, но тоже против. Достала уже вся эта истерия, разгоревшаяся из-за рекламных прибылей гугла.
#36
Отправлено 05 Май 2021 - 12:34
Dmitry Mikhirev, солидарен.
Так что наше дорогое правительство имеет все шансы успеть зарезать его до массового внедрения.В ОК рамках так или иначе придётся резать независимо от государства.
But a thing of beauty, I know, will never fade away...
#37
Отправлено 05 Май 2021 - 12:45
Если ECH всё же станет распространённым, это равноценно предложению сейчас резать все HTTPS-соединения без разбора. Если веб для работы не нужен — режьте на здоровье, если нужен — начальство Вас не поймёт.В ОК рамках так или иначе придётся резать независимо от государства.
#38
Отправлено 05 Май 2021 - 13:25
Dmitry Mikhirev, для обратной совместимости всяко что-то будет, и MITM с сертификатом и "своим" DNS никто не отменял.
But a thing of beauty, I know, will never fade away...
#39
Отправлено 12 Май 2021 - 20:33
Немного непонятно, как разговор ушёл в TLS 1.3 ну да ладно.
Ну, в разношёрстной среде, где есть станции в домене, станции не в домене – установить этот самый сертификат вряд ли будет просто. И особенно с учётом нынешней завязки на ГОСТ.
Собственно, разве для недоменных станций сложно засунуть импорт корневого доменного серта в установочный батник на флешку или куда ещё? Во время установки самого веба и офисных приложений будет происходить импорт этого сертификата.
А при чём тут завязки на ГОСТовские серты? Все браузеры умеют в RSA, а сайты на ГОСТе в белом списке и их трафик вскрывать не нужно
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых