Re: WiFi & авторизация в домене windows
On 2012.06.27 at 11:16:15 +0400, Stanislav Maslovski wrote:
>
> Как я понимаю, _только_ если сертификат сервера подписан известным root
> CA. В PEAP для обмена credentials используется TLS, поэтому совсем без
> сертификатов там никак.
Ну почему никак? Можно совсем не проверять аутентичность сервера.
> Если же мое предположение относительно ca_cert неверно
> (поэкспериментировать нет возможности), и wpa_supplicant принимает любой
> серверный сертификат без валидации, когда опция ca_cert явно не
> прописана в конфиге, то это большая дыра в секьюрити.
Это зависит от топографии того места, где расположен данный wifi и
возможности наличия злонамеренных инсайдлеров с hostapd.
В более-менее нормальной конторе среднего размера, расположенной в
отдельно стоящем здании посреди обнесенной забором территории с
проходной, можно и без валидации сертификатов.
Reply to: