Re: LDAP авторизация
Sergey Chumakov -> debian-russian@lists.debian.org @ Sat, 2 Feb 2008 11:56:41 +0200:
>> SC> первоочередной.
>>
>> А если подумать? Именно про ftp?
SC> Долго думал. Ну нету у меня его нигде :) Не нужен. Был анонимный
SC> для свалки, снес, потому что хватает http. tftp есть - запускаю
SC> чтоб сбросить конфиг циски.
SC> Всегда думал о защищенном соединении. И совершенно забыл о
SC> упомянутом интернет кафе. Да, согласен. Только с пользователями
SC> проблема, они все равно будут пароли бить одни и те же, ааа
SC> ... 123.
Защищенное соединение имеет смысл лишь постольку, поскольку человек,
который им пользуется, _понимает_ и соблюдает свою часть протокола.
Ситуация, когда он не понимает, но соблюдает, возможна (мы такое
делаем), но только в очень жестких условиях, напрочь исключающих не то
что интернет-кафе, но и домашний компьютер.
А если он этого не понимает, то в лучшем случае мы от защищенного
соединения получаем иллюзию безопасности (SSL, VPN) без ухудшения ее по
сравнению с незащищенным соединением, а в худшем - проигрыш по
безопасности по сравнению с ftp (scp/sftp). Второе - потому что авторы
ftp-серверов уже прошлись по всем соответствующим граблям, а авторы ssh,
который архитектурно совершенно не предназначен для ограниченного
доступа - еще нет.
Когда человеку нужен шелл, он обычно обладает достаточной квалификацией
для понимания своей части протокола безопасности. А типичный человек,
которому нужно файлы из дома в офис гонять - нет.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Reply to: