Вы все правильно написали, но не учитываете одного, что шила в мешке не утаить. Оборудование ТСПУ не знает установлен у вас сертификат минцифры или нет. Т.е. если решат провести такую атаку массово, то браузер того, у кого сертификат не установлен, сразу же оповестит о том, что сайт гугла вдруг прислал какой-то левый сертификат. Ну и достаточно скоро эта новость сначала разойдется по техническим форумам, а потом и в новости просочится. Понятно, что ни к какому скандалу это не приведет, но дальше слушать чужой трафик будет уже сложнее...
Роутер время от времени залезает на сайт производителя и проверят наличие обновлений, если на сайте лежит новая прошивка, обновляется, если на сайте лежит новая прошивка, помеченная как критичная, принудительно обновляется, даже если автоматическое обновление отключено. Никакой магии тут не нужно...
Если производитель может заставить все роутеры принудительно обновиться, то кто ему мешает выложить прошивку, в которой будут активированы другие бекдоры и заставить всех на нее обновиться?
Если в прошивке роутера есть бекдор, позволяющий удаленно обновлять прошивку, то где гарантия, что там нет и других бекдоров, которыми будут пользоваться иностранные спецслужбы, а вы за это отвечать будете?
Ну вообще-то разница есть. Производителю, которого я подозреваю, что он может заложить бекдор, я все-таки доверяю больше, чем тому, про которого я точно знаю, что в его прошивке есть бекдоры и он ими пользуется.
А "запустить процесс обновления всех роутеров, даже тех, у которых автоматическое обновление было отключено в настройках" разве не попадает под классификацию несанкционированного доступа к устройству? Какое теперь может быть доверие к производителю?
А неужели язык программирования и тип лицензии это такие уж важные характеристики? Кто-то будет использовать оконный менеджер только из-за того, что он написан на C++, а не на C? Или скажет: "неее, а вот этот точно использовать не буду, мне лицензия не подходит..."
Ну и прежде чем писать "стековый/тайлинговый" может стоит объяснить, а что это вообще такое?
просто пытаюсь понять что стоит за фразой "можно сделать вход на короткоживущих сертификатах"... реальный опыт или просто что-то где-то слышали, но как настраивать понятия не имеете...
Интересно, а каким боком закон ЕС распространяется на гонконгскую компанию, ведущую бизнес в России?
телеграмм-канал сам себя не прорекламирует...
А откуда у Саши из Минска аккаунт на Госуслугах?
Вы все правильно написали, но не учитываете одного, что шила в мешке не утаить. Оборудование ТСПУ не знает установлен у вас сертификат минцифры или нет. Т.е. если решат провести такую атаку массово, то браузер того, у кого сертификат не установлен, сразу же оповестит о том, что сайт гугла вдруг прислал какой-то левый сертификат. Ну и достаточно скоро эта новость сначала разойдется по техническим форумам, а потом и в новости просочится. Понятно, что ни к какому скандалу это не приведет, но дальше слушать чужой трафик будет уже сложнее...
Интересно как будет вести себя железка, если "правовые и нормативные требования" будут не устранять, а создавать серьезные проблемы в безопасности :)
Роутер время от времени залезает на сайт производителя и проверят наличие обновлений, если на сайте лежит новая прошивка, обновляется, если на сайте лежит новая прошивка, помеченная как критичная, принудительно обновляется, даже если автоматическое обновление отключено. Никакой магии тут не нужно...
Если производитель может заставить все роутеры принудительно обновиться, то кто ему мешает выложить прошивку, в которой будут активированы другие бекдоры и заставить всех на нее обновиться?
Если роутер по команде извне делает то, что было явно отключено в конфигурации, то чем это не бекдор?
Ну во-первых даже если пароль и простой, то его все-равно надо подобрать.
Ну а во-вторых, насколько я понял из статьи и обсуждения на форуме, прошивку обновили всем, даже тем у кого удаленный доступ был надежно защищен.
Что это за изолированный канал?
Если в прошивке роутера есть бекдор, позволяющий удаленно обновлять прошивку, то где гарантия, что там нет и других бекдоров, которыми будут пользоваться иностранные спецслужбы, а вы за это отвечать будете?
Достаточно только команды на загрузку новой прошивки... А "и еще какие-то" уже будут в ней...
Ну вообще-то разница есть. Производителю, которого я подозреваю, что он может заложить бекдор, я все-таки доверяю больше, чем тому, про которого я точно знаю, что в его прошивке есть бекдоры и он ими пользуется.
А "запустить процесс обновления всех роутеров, даже тех, у которых автоматическое обновление было отключено в настройках" разве не попадает под классификацию несанкционированного доступа к устройству? Какое теперь может быть доверие к производителю?
"Вы абсолютно правы, спасибо, что заметили это. Конечно же вам надо было самому читать то, что написано мелким шрифтом внизу договора... "
Но при этом уровень статьи явно не ориентирован на тех, кто собирает софт из сырцов, и тем более на тех, кто самостоятельно устраняет баги в софте
А неужели язык программирования и тип лицензии это такие уж важные характеристики? Кто-то будет использовать оконный менеджер только из-за того, что он написан на C++, а не на C? Или скажет: "неее, а вот этот точно использовать не буду, мне лицензия не подходит..."
Ну и прежде чем писать "стековый/тайлинговый" может стоит объяснить, а что это вообще такое?
Вот только в /etc/passwd паролей давно уже нет
просто пытаюсь понять что стоит за фразой "можно сделать вход на короткоживущих сертификатах"... реальный опыт или просто что-то где-то слышали, но как настраивать понятия не имеете...
А можете поделиться примером конфига циски, джунипера ну или микротика для аутентификации по сертификату?