интересно, если я должен включить HTTPS / SSL на веб-серверах в моей локальной сети.
какие возможности имеет сниффер/man-in-the-middle в локальной сети, где устройства обычно подключаются коммутаторами?
небрежно ли отправлять пароли в виде обычного текста по локальным сетям?
Я также хочу избавиться от предупреждений самозаверяющих сертификатов.
2429
зависит от модели угрозы. Если вы думаете, что в вашей сети могут быть плохие парни, вам абсолютно необходимо зашифровать трафик.
когда две машины находятся в одной подсети (т. е. нет маршрутизатора между ними), ARP отравления становится возможной атаки. Это влечет за собой злоумышленник говорит одну машину " Эй, я сервер, с которым вы говорили, и мой MAC-адрес теперь attacker's MAC" и скажете "Эй, я клиент ты разговариваешь, и мой MAC-адрес сейчас attacker's MAC."Как только это будет сделано, злоумышленник может прослушивать весь трафик (или изменить его!) перед отправкой реальному получателю.
удаление предупреждений о самозаверяющих сертификатах-плохая идея, когда могут быть злоумышленники, потому что это разрушает весь смысл наличия сертификатов в первую очередь, в частности, что никто не может просто создать сертификат, а затем другие компьютеры считают, что они правильный сервер. Если бы я мог просто создать сертификат о том, что я Google, и вы поверили мне, я мог перехватить ваш трафик в Google и возиться с ним, и вы не знали бы, потому что вы думали, что мой сертификат был законным. TLS (и вся инфраструктура открытых ключей) требует наличия надежных центров сертификации.
Если вы уверены, что злоумышленники никогда не смогут подключиться к сети (например, два сервера напрямую подключены и физически защищены), вы можете отправить все, что хотите, в четкий. В противном случае, безопасность-хороший план.
 |  |  |  |  |  |  |  |  |  |
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]
Komp
