|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ilya Anfimov 2:5020/400 08 Oct 2006 15:40:25
To : Valentin Davydov
Subject : Re: openssh & sshfp pico howto
--------------------------------------------------------------------------------
2006-10-07, Valentin Davydov <val@sqdp.trc-net.co.jp> пишет:
>> From: Ilya Anfimov <ilan@astelecom.ru>
>> Date: Fri, 6 Oct 2006 21:53:43 +0000 (UTC)
>>>
>>> ??>> <name> IN SSHFP <public key algorithm> <fingerprint type>
>>> ??>> <fingerprint>
>>>
>>> IA> После чего хакнутый тем или иным способом DNS становится вполне
>>> IA> достаточным для man-in-the-middle.
>>>
>>> это только необходимое условие
>>
>> Ой, ну что Вы. Всё такжэ можно кинуть в known_hosts, можно
>>устроить DoS на DNS как-нибудь.
>>
>> А вот что помешает man-in-the-middle, если злоумышленник выдаёт
>>тебе и адрес хоста и его fingerprint -- я не представляю.
>
> Я так понимаю, что при хакнутом DNS перестанет работать не только ssh,
> но ещё много чего (от веба до особенно почты, мать её), так что быстрее
> заметят и починят.
Это если его долбануть, а не хакнуть. А при нормальном взломе
(не важно -- того DNS-сервера, локального DNS-сервера,
какого-нибудь сервера провайдэра, на который из каких-то
соображэний у локального установлен forwarders или дажэ некоего
роутера, через который ходят пакеты до DNS, или дажэ
какого-нибудь через чур умного свитча, до которого ходят оные
пакеты вместе с одним из подключённых к нему клиентов) --
насколько мне известно, man-in-the-middle будет на блюдечке.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
