On Wed, Jun 27, 2012 at 02:11:31PM +0400, Victor Wagner wrote: > On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote: > > > > > Как я понимаю, _только_ если сертификат сервера подписан известным root > > CA. В PEAP для обмена credentials используется TLS, поэтому совсем без > > сертификатов там никак. > > Ну почему никак? Можно совсем не проверять аутентичность сервера.
Т.е., в принципе можно обойтись без ca_cert (потенциальная дыра в безопасности), но без серверного сертификата (т.е., без public key сервера) в PKI схеме не обойтись никак. То есть, _совсем_ без сертификатов никак нельзя, что и имелось в виду. > > > Если же мое предположение относительно ca_cert неверно > > (поэкспериментировать нет возможности), и wpa_supplicant принимает любой > > серверный сертификат без валидации, когда опция ca_cert явно не > > прописана в конфиге, то это большая дыра в секьюрити. > > Это зависит от топографии того места, где расположен данный wifi и > возможности наличия злонамеренных инсайдлеров с hostapd. > > В более-менее нормальной конторе среднего размера, расположенной в > отдельно стоящем здании посреди обнесенной забором территории с > проходной, можно и без валидации сертификатов. Ну это не серьёзно. Направленные антенны ещё никто не отменял. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120627104710.GA6862@kaiba.homelan