CityCat4

Неужели мне одному интересна авторизация по паролю?)

Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2

Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)

Похоже на подмену сертификата :)

Во всяком случае у меня при заходе по ссылке вверху сертификат для air.alibaba.com вот такой

Есть предположение, что это некое сообщение, которое прочитать может только тот, кто знает, что оно означает. А разослали в сто тыщ мильенов адресов, чтобы замаскировать под спам :)

DNS - это база данных, которая увязывает имя и IP в прямом и обратном направлении. И больше ничего она не умеет. Ну еще соотнести имя с неким комментарием (как в SPF/DKIM делается)

Обсуждение атаки обычно начинают с ее целесообразности. Целесообразность атаки на периметр конторы скажем известна довольно хорошо - хищение/уничтожение данных, перехват управления.

Какова целесообразность подобной атаки для хостинга? Да никакой. Хостер и так имеет доступ ко всем файлам клиента и может совершенно спокойно подсунуть ему любой сертификат куда угодно.
Какова целесообразность подобной атаки для VPS-хостера/провайдера? Да никакой - он и так все пишет - накуа ему еще головняки?

Насчет того, что LE иже с ним - это разводилово.

Я в этом совершенно уверен :) Бесплатный сыр бывает только известно где - а тут тебе бесплатно, да с поддержкой инфраструктуры и прочими плюшками. Обычно говорят "LE играет на стороне корпораций и против государства (здесь под государством имеется в виду государство вообще, а не какое-то конкретное)". Я в это, простите, не верю. У Гугла и кто там еще содержит LE явно есть какой-то интерес держать его помимо этого.

Вот почему я никогда не генерю сертификаты онлайн :) Только свой CSR, только хардкор.

Насчет размещения сервера в юрисдикции РФ - можно подумать в других странах по-другому? Следует наверное сформулировать так "не держите сервер в юрисдикции той страны, законы которой собираетесь нарушать". Или Вы думаете, что если Вы живете в США, хоститесь в США и нарушаете законы США - к Вам не придут? Ну, блажен, кто верует... до тех пор, пока не начинает выплевывать собственные зубы.

Вся система PKI держится на одном утверждении - In root CA we trust :) Ну то есть мы безоговорочно доверяем сертификатам, выпущенным СA, сертификаты которых мы считаем корневыми. Отсюда и все возомжности MitM. Да, есть HPKP, но его использование может принести Вам немало головняков с невозможностью открыть сайт, который "еще вчера" открывался.

Глупых пользователей :) Всегда есть какой-нибудь не особо важный вопрос, который можно пойти обсудить или проконсультировать.

Для нуба - большие.

Ноут - это как большая мобила - крайне точная и крайне плотная компоновка.

Поэтому:
- перед разборкой все фотаем
- используем часовые отвертки - винтики там крайне миниатюрные, запоминаем как они расположены - иногда винтики разной длины и отнюдь не взаимозаменяемы :)
- не прилагаем никакого усилия - все должно вставляться и выниматься легко, если что-то не вставляется/не вынимается - значит ставите/вынимаете не так/не туда/не то
- за платы стараемся хвататься как можно меньше
- в гугле много роликов с разборкой той или иной модели ноута, есть такие плотно укомпонованные, что черта с два сразу поймешь, типа Sony Vaio

К сертификату для Exchange предьявляются особые требования.

У него обязательно должен быть SAN, потому что в нем (в SAN) должно быть как минимум два имени - org.blabla.bla и autodiscover.blabla.bla. При этом, если предполагается предоставлять доступ к OWA извне - обязательно придется его (сертификат) купить, иначе не видать Вам почты на мобильных клиентах :)

Самоподписанный сертификат должен совпадать с именем, на котором работает эксч - а как иначе? и иметь в SAN autodiscover. Ну то есть, если контора имеет домен ktoto.local, а сервер exch.ktoto.local, то сертификат должен включать имена exch.ktoto.local и autodiscover.ktoto.local. Если же хотите еще и внешний доступ - то эксч должен работать на домене ktoto.ru, и соответственно сертификат должен включать имя autodiscover.ktoto.ru.

Эксчевские сертификаты недешевые - от десятки рублей.

Насколько знание предмета "Теория и конструкция автомобиля" (TиКА), которое учащиеся автотрансопртных техникумов зовут "Тут и конец автомобилистам" - нужна для того, чтобы его водить? Да ни на сколько. Вот примерно так.
ИБ - это огромная область, знание низкоуровневого программирования нужно обычно для пентеста либо для разработки драйверов к некоему специфичному железу. ИБ вообще может быть не связано с программированием - это зависит от размера конторы. Но в небольших конторах ИБ-шник как правило на вершине пирамиды доступа и кого попало туда не поставят.

Если по условиям задачи допустимо применение внешних команд - то сначала man mail, потом отработка отправки файла через команду mail, потом вызов этого всего через system() или exec()..
Если нужно указывать от кого - вместо mail используется sendmail.
Если использование внешних команд недопустимо и нужно/хочется обойтись чиста средствами языка (это конечно глупо, но познавательно зело) - берем RFC822, изучаем формат сообщения электронной почты, потом берем и реализуем это.

То есть нужно будет:
- сформировать правильные заголовки письма
- сформировать вложение (mime-encoded, не забываем про то, что в письме могут присутствовать только отображаемые ASCII, никаких спецсимволов!)
- подключиться к серверу, передать начальную информацию (кто ты, от кого, кому)
- не забыть про SPF/DKIM/DMARC (иначе с большой долей вероятности письмо будет в корзине, если вообще будет принято - гмыло в этом отношении прост как полено)
- передать сформированное письмо

Wataru правильно сказал - пара месяцев напряженной работы уйдет, зато сколько скиллов сразу подтянете :D
На баше кстати одной строчкой делается (если без изменения From:) и двумя-тремя - если с изменением.

Взять инструкцию, почитать и настроить. Я гляжу, там полноценный IPSec имеет место быть. Это есть гуд :) Хотя конечно поипаца придется, IPSec - вовсе не нубская тема :)

Возьми вместо федоры центос - те же фаберже , только в профиль и без позолоты :)

Увеличьте уровень лога и перезапуститесь. А потом посмотрите, что в логе.

Ну, я вот знаю, как это сделать на sendmail, но мой ответ тебе поможет только если у тебя установлен он ;)

Начнем с самого простого вопроса :) - какова была задача? В VB нет видеокарты, есть ее некая имитация, которая появляется после установки дополнений, но все равно выглядит как задница. Для тестирования, для отладки, для работы с консолью оно годится. Разумеется, видео не посмотришь и игры не погоняешь :)

1. А Вы ,что реально указали реквизиты карты с деньгами? Ну вы тогда, батенька, тово... Это примерно настолько же мудрый поступок, как идти поздно вечером городской окраиной и рассчитывать не получить в бубен :) Разумеется, для покупок в тырнете нужна отдельная карта, на которой обычно нет денег.
2. Нет.
3. Нет. Только перевыпуск карты, а он может быть платный. Еще один аргумент за то, чтобы иметь отдельную карту для платежей - она обычно вирутальная, и перевыпуск ее ничего не стоит :)
4. Можно настроить даже так, чтобы любая операция требовала контрольного звонка в колл-центр и одобрения голосом. Причем отключить этот режим можно только личным визитом в офис.

Уголовный Кодекс РФ

Непонятно - накуа все это?

Bluestack ставить не надо - это обрезок эмулятора для запуска игрушек, в котором порезано все по самое не хочу.
Не надо ипать моск запуском эмулятора в эмуляторе. Для отладки обычно ставится Android Studio с полноценной (хоть и #опа как медленной) эмуляцией.