On Wed, Nov 21, 2001 at 02:22:30PM -0500, Dmitriy Kropivnitskiy wrote: > On Wednesday 21 November 2001 01:03 pm, Konstantin Starodubtsev wrote: > > Я бы так не переживал, поскольку нечистоплотных админов у себя в конторе > > надо сажать (криворуких расстреливать? :), а траффик все равно обычно через > > кошки идет, а на них надо очень серьезно поглумиться, чтобы MITM attack > > устроить. В критичных случаях разрешать SSL соединение только для хостов с > > известными сертификатами, тогда MITM'у совсем ничего не обломится. > > Я в принципе согласен что MITM представляет опастность только для > действительно важной информации. Уж больно его сложно сделать. Да все уже сделано - даже думать не придется dsniff и иже с ними например
> С технической же стороны, есть пара замечаний. Не смотря на то что данные > идут через CISCO коробки, не надо забывать что по дороге может встретится > хаб, свитч или вообще кто-то может присосаться прямо к проводу. По этому > совершенно не обязательно проводить MITM прямо на роутере если можно > подсоединиться с нормальным лаптопом. Так же не стоит забывать, что после > вашего роутера, есть железо на ISP, про которые обычно толком ничего не > известно. Если кому-то из админов на ISP от скуки захочется пошалить у него > все шансы. А насчет сертифицатов, то как ты понимаешь с e-mail такие фокусы > плохо получаются. В чем проблема? Сервер (твой) можно настроить на проверку валидности предъявляемых сертификатов, те что он подписан твоим CA и не находится в CRL и никаких проблем - MITM провалился :) With MBR Max
