RK
Не чтение файла
Size: a a a
2020 February 15
С
эммм... уходим в решение другой задачи ))) сервис внутренний, но находится на реальном ип. изначально ограничивали доступ с определенных ип. далее возникла задача предоставлять доступ руководителю из любой точки, без знания адреса. решили остановиться на сертификатах.
Ну дык логин-пароль же
I
помимо руководителя есть еще куча других пользователей, которые могут подключиться из дома. ид доступ нужен только с рабочего места
С
Там ос вызовы
Ааа, типа там ОС-вызов "подпиши мне вот эту строку вооон тем сертификатом"?
С
помимо руководителя есть еще куча других пользователей, которые могут подключиться из дома. ид доступ нужен только с рабочего места
Угу, вот теперь понятно. Если Рома ответит на мой вопрос утвердительно, тогда схема и правда получается красивая
PC
Ааа, типа там ОС-вызов "подпиши мне вот эту строку вооон тем сертификатом"?
С
На какую из функций смотреть? Там их туча
RY
1) Вы доверяете клиенту, что он поставит выданный вами клиентский сертификат только на доверенные устройства.
2) Вы доверяете клиенту, что он поставит выданный вами логин-пароль только на доверенные устройства.
Вопрос: как (2) отличается от (1)? Что меняется?
2) Вы доверяете клиенту, что он поставит выданный вами логин-пароль только на доверенные устройства.
Вопрос: как (2) отличается от (1)? Что меняется?
Это уже другой задачей решается
RY
Ааа, типа там ОС-вызов "подпиши мне вот эту строку вооон тем сертификатом"?
Именно так. Ключ приватный даже никто и не увидит. Система подпишет что нужно и все. Есть даже чипы аппаратные которые это делать позволяют. Внутри себя приват кей генерят и хранят а дают только паблик кей)
С
Именно так. Ключ приватный даже никто и не увидит. Система подпишет что нужно и все. Есть даже чипы аппаратные которые это делать позволяют. Внутри себя приват кей генерят и хранят а дают только паблик кей)
Да, супер схемка, красиво
RY
Да, супер схемка, красиво
Вебмани в этом плане время обогнали так сказать
RY
Потому что в церте можно еще много инфы интересной прописать. Например ид юзера
С
Вебмани в этом плане время обогнали так сказать
Тут другое, одно дело отдельное устройство, которое подписывает, не отдаёт ключ, а в случае у Ивана пользователь не являлся владельцем устройства, это ключевой момент ситуации, и поэтому просто на уровне ролей ОС было достаточно разделить тех, кто имеет доступ к приватному ключу и тех, кто имеет право этим ключом подписывать.
RY
Тут другое, одно дело отдельное устройство, которое подписывает, не отдаёт ключ, а в случае у Ивана пользователь не являлся владельцем устройства, это ключевой момент ситуации, и поэтому просто на уровне ролей ОС было достаточно разделить тех, кто имеет доступ к приватному ключу и тех, кто имеет право этим ключом подписывать.
Еще паяльник помогает извлекать приватные ключи. В физическо-биологическом плане
С
Потому что в церте можно еще много инфы интересной прописать. Например ид юзера
А вот это зачем? Разве вебмани не знает все публичные ключи всех своих пользователей?
С
Еще паяльник помогает извлекать приватные ключи. В физическо-биологическом плане
Терморектальный криптоанализ всегда есть, но далеко не всегда он есть в модели угроз. Например, в случае юзера устройства (а не его владельца) он вообще никакой роли не играет.
RY
А вот это зачем? Разве вебмани не знает все публичные ключи всех своих пользователей?
Я пример привел. Моментов много как это использовать
RY
Терморектальный криптоанализ всегда есть, но далеко не всегда он есть в модели угроз. Например, в случае юзера устройства (а не его владельца) он вообще никакой роли не играет.
В случае ограничения чего то что висит на публичном айпи - замечательное решение. И в случае если клиента идентифицировать нужно
RK
Да, супер схемка, красиво
Да (сорри чуть занят)
С
Да (сорри чуть занят)
В выходные дни пользование соцсетями и чатами резко падает. Сразу видно — люди делом заняты )