|
| 1.2, axe (??), 17:07, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
и думаете это что-то поменяет? Нет и еще раз нет. Так ведь и сертификацию можно не пройти у безопасников и продавать устройство в стране не разрешат. Так что все это не случайно или недосмотр - это целенаправленная политика
| | |
| |
| |
| 3.11, Вася (??), 19:09, 23/12/2010 [^] [^^] [^^^] [ответить]
| –6 +/– |
Ваше высказывание кратко можно охарактеризовать как "газификация лужи".
Пруф:
Если у человека хватит ума поставить альтернативную прошивку, то возможно он наверное (но не обязательно) сможет и ссл ключ поменять.
Но таких людей - 1 на 100.
А что делать обычным леммингам, которые даже на задумываются над тем что ССЛ ключ может быть уникальным не для отдельного устройства а для всей линейки в 100 тыж штук? А ведь полно контор которые проводят инет и сами подключают клиентам вайфай, они даже парится небудут над установкой опенврт. И в даном случае даже обычный WPA preshare key значительно надежней чем такого рода сертификат.
| | |
| |
| 4.13, User294 (ok), 20:18, 23/12/2010 [^] [^^] [^^^] [ответить]
| +6 +/– |
 > А что делать обычным леммингам, которые даже на задумываются
С таким подходом - разве что стену и место для разбега поискать.
| | |
| 4.18, zazik (ok), 21:58, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Ну признайся же, что фигню сказал. На мой вопрос человек нормально ответил, тебе смысла не было влезать.
| | |
| 4.33, Асушник (?), 02:06, 25/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
По российским законам, несанкционированное использование шифрования - нарушение закона. А использование при этом неподконтрольной прошивки - видимо вообще вопиющее действие )
| | |
|
|
| 2.14, SnoWLight (?), 21:11, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> А самому этот ключ перегенерить можно?
В Zyxel'ях сертификат генерится на основе MAC адреса, кроме того сертификаты можно импортировать.
| | |
| |
| 3.28, ffirefox (?), 09:52, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>В Zyxel'ях сертификат генерится на основе MAC адреса
А чем это надежней? MAC адрес то известен
| | |
| |
| 4.31, Filosof (ok), 15:07, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 как минимум убивает возможность словарного перебора. Генерация (пусть даже "на основе") уже весьма серьёзный шаг.
| | |
|
|
|
| 1.4, pavlinux (ok), 17:39, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 1. для доступа к прибору надо юзать отдельную сеть без юзеров.
2. для доступа к прибору надо юзать выделеный комп в этой сети.
3. для доступа к прибору из долёка надо юзать выделеный комп с SSH.
| | |
| |
| 2.19, zazik (ok), 22:00, 23/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там только хттп и телнет.
| | |
| |
| 3.22, pavlinux (ok), 22:02, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Не всегда в таких приборах есть SSH. Недавно настраивал TPLink - там
> только хттп и телнет.
ключевое слово "выделеный комп", на него залогинется, а там уж телнет или СОМ-порт.
| | |
|
| 2.30, Nas_tradamus (ok), 14:48, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode?
Вообще, где может найти применение эта фича? В Ethernet ведь уже не послушать трафик с других компов просто так...
| | |
| |
| 3.32, pavlinux (ok), 15:39, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> А разве использование коммутаторов не сводит на нет всю прелесть Promiscuous mode?
> Вообще, где может найти применение эта фича?
Где, где, .... в разрыв кабеля суёшь и дампишь, дома распарсиваешь.
Залезь в любом доме на последний этаж, там столько проводов висит :)
> В Ethernet ведь уже не послушать трафик с других компов просто так... | | |
|
|
| 1.7, ua9oas интересуется Миша Рыцаревъ (?), 18:16, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Интересно, а почему криптосмартфоны и другие устройства для шифрования телефонных переговоров обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи что ли они получают? Соответственно- а существует ли возможность перехвата и прослушивания скайп-траффика?
| | |
| |
| 2.15, SnoWLight (?), 21:17, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> обязательно сертифицировать в ФСБ? Там что, в процессе сертификации аналогичные ключи
> что ли они получают?
На сколько я понимаю требования к сертификации только для госорганизаций и т.п. актуальны. На счет личного использования никаких законов/требований я не знаю. А с чего вы взяли что ключи на сертифицированных устройствах будете генерировать Вы а не Они?
| | |
|
| 1.9, анонимиус (?), 19:05, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом запуске/ресете?
| | |
| |
| 2.12, dalco (ok), 20:13, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 В некоторых, особо извращенных, девайсах могут быть проблемы с дальнейшим сохранением ключа, например, если (почти) вся внутренняя FS девайса в read only.
| | |
| |
| 3.23, Аноним (-), 03:05, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
во *всех* девайсах есть память доступная для записи для хранения настроек (ssid и пароль например). сохранить туда ключ - задача просто элементарная.
| | |
| |
| 4.24, dalco (ok), 07:58, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Угу, только памяти там этой сотня-другая байт, и каждый байт уже подо что-то зарезервирован. И воткнуть туда какой-нибудь 4096bit rsa ключ весьма затруднительно.
P.S. Если ничего не путаю, то у меня как раз старенький роутер от асуса так работал. 8 метров флэша под прошивку и сколько-то там байт (подозреваю, что 256) под настройки (скорее всего, это объем флеша броадкомовской SoC). Доступа к основному флешу на запись у девайса нет (только при заливке прошивки).
Потом openwrt туда залил - теперь вся конфа хранится в основной флеш-памяти в обычных файлах в /etc.
| | |
| |
| 5.26, Аноним (-), 09:19, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
в броадкомоподобных роутерах на флеше есть раздел с настройками. и размер у него не сто-двести байт, а около 32k, и большая его часть не занята.
к тому же, у моего девайса всего 2Мб, а всё есть.
| | |
| |
| 6.29, dalco (ok), 10:47, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Возможно, пример с асусовским роутером был не самый удачный, но в существовании девайсов с очень ограниченным объемом NVRAM, куда не влезут ключи, я не сомневаюсь.
P.S. Это в современных устройствах на энергонезависимую память не жадничают, в более древних и дешевых все не так радужно (особенно, если прошивка в простом ПЗУ).
| | |
|
|
|
|
| 2.17, Аноним (-), 21:28, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом
> запуске/ресете?
Браузеры будут ругаться, что ключ не заверен центром сертификации.
| | |
| |
| 3.21, zazik (ok), 22:02, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Объясните тупому, зачем хранить ключик в прошивке, ведь можно генерить при первом
>> запуске/ресете?
> Браузеры будут ругаться, что ключ не заверен центром сертификации.
Он и так ругается. Никому не надо купленный сертификат(а у него ещё срок действия может быть маленький!) с приватным ключом впиливать в легкодоступную прошивку.
| | |
|
|
| 1.16, Alen (??), 21:25, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
я чего то во всем этом ни разу не увидел слова ZyXel.
Они что дартаньяны? на фоне остальных...
| | |
| 1.36, Александр (??), 21:33, 26/06/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 всем доброго вечера, а вот у меня вопрос: А что по поводу дешифровки ssl-трафика с сайтов? Если трафик перехватят на стороне провайдера, они тогда тоже имеют все шансы его дешифровать?
| | |
|
