Математика, криптография, сети, безопасность

Достижения

Все достижения (15)

Наибольший вклад в теги

Все теги (234)

Лучшие ответы пользователя

Все ответы (694)
  • Как обезопасить веб-сервер в корпоративной сети?

    Все сервера, предоставляющие сервисы для недоверенных сетей (в т.ч. Интернета) должны размещаться в отдельном сегменте DMZ, при этом не должно быть разрешено инициирование соединений из DMZ внутрь локальной сети - только из локальной сети в DMZ (для управления).
    Ответ написан
    Комментировать
  • Не открываются страницы по IP-адресу, почему?

    Причина 1 :
    Начиная с HTTP/1.1 (лет 15 назад) появилась поддержка мультихост серверов. На одном IP могут располагаться сотни сайтов - браузер, обращаясь к серверу по IP, обязан добавить в заголовки HTTP-запроса строку "Host:", которая позволит понять, к какому конкретно сайту Вы идете.

    В настоящее время мультихост является стандартом и нормой и подключение по IP является скорее исключением, вернее доброй волей хостера, который в отсутствие поля "Host:" выбирает за Вас какое из доменных имен предоставлять по умолчанию на данном IP.

    Причина 2:
    Все больше сайтов переходят на HTTPS. Для таких серверов соответствие доменного имени, вписанного в сертификат, уже критично заголовку "Host:", т.к. мало кто запрашивает кроме сертификата на свое доменное имя еще и сертификат на IP-адрес, который к тому же может изменяться. А современные браузеры при несоответствии полей сертификата реальному URL все чаще выдают ошибку, ограждая пользователя от подозрительного сайта.
    Ответ написан
    1 комментарий
  • Ребят а можно ли вытищить сертификат с чужого сайта и поставть его себе на сайт?

    Сначала администратором сайта создается ключевая пара : секретный закрытый ключ (которым сервер будет "подписывать" отправляемые в интернет страницы) и общедоступный открытый ключ (которым будут пользоваться все для проверки этих страниц). (На самом деле чуть сложнее). Вторым действие администратор сайта отправляет открытый ключ в один из удостоверяющих центров, те (разными способами) проводят проверки того факта, что отправитель действительно является администратором того домена, на который он хочет выпустить сертификат и если все ОК, то выпускают сертификат (сертификат - это открытый ключ сайта, подписанный электронной подписью УЦ).

    Теперь по Вашим вопросам:
    Можно ли вытащить сертификат с чужого сайта и поставить его себе на сайт?
    Сертификат и так общедоступен. Вашей целью на самом деле является "вытащить закрытый ключ", чтобы Ваш сайт мог подписывать запросы от имени того сайта. Если администратор в ладах с головой, то доступ к закрытому ключу Вы не получите.

    Однако ! Если Вы имеете возможность добавлять сертификаты в список доверенных на машине клиента, то ничего Вам не мешает добавить туда собственный корневой самоподписанный сертификат, а затем выпустить свой на имя того домена, который хотите перехватить. Например, можно почитать как это делает squid - ключевое слово для поиска "ssl bump".

    Чего именно выдается сертификат ? домену или ип адрессу ? или там вообще по другому все ?
    Домену + (более дорогие) огранизации, подтверждая дополнительно тот факт, что организация владеет этим доменом.
    Ответ написан
    2 комментария
  • Почему при делении получается больше а при умножении меньше?

    С точки зрения "элементарной математики, а не высшей" операции умножения и деления имеют физический смысл только для натуральных чисел в качестве второго операнда. Все, что сверх этого - это уже допущение, определенная абстракция - от самой простой (дробная часть от "количества раз") до сложной (умножение на матрицы, мнимые единицы и т.п.). Чем дальше мы отходим от натуральных чисел, тем труднее понять смысл, скрытый за операцией. А микроинсульты - это очень плохо, давайте лучше без них.
    Ответ написан
    Комментировать
  • L2TP IPSec PSK для чего используется PSK Key?

    Если стороны не имеют общей доверенной информации друг о друге, то любой алгоритм установки сессионного ключа - будь то Диффи-Хеллман или более сложные - все равно уязвим к атаке "man-in-the-middle" : злоумышленник представляется одному абоненту как якобы второй, а второму - как якобы первый. При этом он создает два сессионных ключа - половина пути трафика шифруется первым, потом расшифровывается в точке злоумышленника, возможно модифицируется им, а затем на вторую половину пути трафик зашифровывается вторым сессионным ключом. Абоненты выявить подлог не могут.

    Для защиты от этого нужен "кусочек" доверенной информации между абонентами:
    - либо PKI инфраструктура
    - либо PSK (pre-shared key)

    Т.е. фактически ответ - для аутентификации удаленной стороны.
    Ответ написан
    1 комментарий

Лучшие вопросы пользователя

Все вопросы (6)