У Микрософта нашли очередную
дыру, и не абы где, а в святая святых, в домен контроллере. В общем, патчим, товарищи, не ленимся.
Там, похоже, читают мой бложик: cтоило
обругать Azure Firewall, как в нём появилась именно та
фича, которой мне и не хватало. :-) То есть можно указать в качестве destination любое имя, которое резолвится DNS в IP-адрес или
(
Read more... )
Comments 5
По сотне DNS-допросов угадать, куда пойдём сейчас, если они все на одном CDN - ну можно, да. Ключ в DNS теоретически защищается DNSSec-ом.
Кстати, вот красивая атака: https://www.mnemonic.no/blog/introducing-snicat
Reply
Смотря кому. :-) Системщику вроде меня, пытающемуся обезопасить организационную сеть, плохо. Частнику, не желающему, чтобы ему государство диктовало, какие сайты смотреть, а какие не, хорошо.
Я ещё предлагал вариант с FakeSNI - по анекдоту про чувака с нервным тиком, который в аптеке спрашивал аспирин, а дёргающийся глаз воспринимали как подмигивание, и ему предлагали презервативы.
Но для этого надо, чтобы и сервер (или CDN) был в заговоре.
По сотне DNS-допросов угадать, куда пойдём сейчас, если они все на одном CDN - ну можно, да.
Цензор может просто подделывать ответ DNS, перенаправляя юзера на свой сервер.
Ключ в DNS теоретически защищается DNSSec-ом.Хе, так ведь если исходить из такого предположения, зачем тогда вообще сертификаты нужны? Давайте брать публичные ключи сайтов прямо с DNS, и конец делу ( ... )
Reply
Ага. DANE называется.
А степень подписанности у разных доменов верхнего уровня разная. Но DNSSec я не люблю.
Работает она, насколько понимаю, лишь потому, что файерволлы пытаются быть шибко умными и заполучить серверный сертификат для сверки, прежде чем рубить соединение.
Ну а альтернатива - белый список. Но с ним свои проблемы, и если серверы так настроить можно, то рабочие компы - уже так себе.
Reply
А почему, если не секрет?
Reply
Leave a comment