информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Бэкдор в xz/liblzma, предназначенный...   Три миллиона электронных замков...   Doom на газонокосилках
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / networking		Имя Пароль

ФОРУМ все доски FAQ IRC новые сообщения site updates guestbook beginners sysadmin programming operating systems theory web building software hardware networking law hacking gadgets job dnet humor miscellaneous scrap регистрация Легенда:   новое сообщение   закрытая нитка   новое сообщение   в закрытой нитке   старое сообщение	Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания. Новичкам также крайне полезно ознакомиться с данным документом. Обычно схема терминирования https трафика выглядит... 29.03.11 16:52  Число просмотров: 3406 Автор: fingus Статус: Незарегистрированный пользователь Отредактировано 29.03.11 16:57  Количество правок: 1 <"чистая" ссылка> > Это только одна из трех частей задачи. Вторая - прокси > должен уметь "прозрачно" или с разрешения/ведома клиента > пользоваться сертификатом целевого сервера. Третья - прокси > должен независимо хранить/извлекать откуда-то (из AD?) > сертификаты разных пользователей и "от их имени" > устанавливать защищенные соединения также независимо. Обычно схема терминирования https трафика выглядит следующим образом: - на прокси устанавливается сертификат из CA которому доверяют клиенты. Чаще всего это сертификат выданный внутренним СА. Хотя может быть и внешний, если это не одна организация а провайдер услуг. - клиент инициирует SSL сессию посылая HELLO серверу - прокси перехватывает запрос и посылает его на сервер от имени клиента - сервер отвечает посылая свой публичный сертификат, соответственно он отвечает прокси серверу - прокси генерирует сертификат с именем сервера и посылает его клиенту. Т.к. этот сертификат подписан сертификатом которому клиенты доверяют, то и новому сертификату они так же доверяют В итоге обычный пользователь не видит ни каких предупреждений от броузера, т.к. сертификат отвечает всем признакам действительного: сертификат выдан доверенным СА сертификат содержит имя сервера к которому происходит обращение сертификат годен по сроку годности Получается, что это не один туннель, а два. Один от клиента к прокси, а второй - от прокси до сервера. Соответственно на самом прокси сервере трафик будет незашифрованный и его можно проверять на вирусы или на наличие определённой информации <networking> Поиск  но как это им удается, если сертификат на стороне... [url] - lazy_anty 22.03.11 15:05 [2085] Очень просто -... - Winer 22.03.11 15:10 [2988] и каспер так умеет. (-)  - Den 23.03.11 04:40 [2987] Иными словами, клиент всегда видит сертификат прок... (-)  - kstati 22.03.11 16:15 [3199] Это только одна из трех частей задачи. Вторая - прокси... - lazy_anty 28.03.11 17:23 [2964] Обычно схема терминирования https трафика выглядит... - fingus 29.03.11 16:52 [3406] Фигня какая-то. А не кажется ли вам, что данная защита... - DPP 22.03.11 21:45 [2910] Именно так. Но этот сертификат будет валидным с точки... - fingus 29.03.11 17:06 [2570] Админа не волнуют жалкие проблемы пользователей :) К тому... - Winer 23.03.11 09:08 [2583] С чего же фигня? Админ точечно принимает сертифика... (-)  - kstati 22.03.11 21:48 [2513] Что значит "точечно"? (-)  - Fighter 22.03.11 22:23 [2704] То, что позволено политикой безопасности организации. (-)  - kstati 23.03.11 10:50 [2489] Раньше это так и называлось: "определяется политик... - Fighter 23.03.11 14:36 [2473] Да хоть ковровой бомбёжкой. Суть та же ) Выборочно... (-)  - kstati 23.03.11 14:42 [2480] Ну-ну. (-)  - Fighter 23.03.11 14:48 [2430]

Copyright © 2001-2024 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach