Re: squid incept https
Леонид Кальмаев -> debian-russian@lists.debian.org @ Thu, 27 Aug 2015 10:21:50 +0600:
ЛК> Руслан, Я просил помощи в реализации именно этого решения. Есть
ЛК> поставленная задача резать всё что не угодно руководству. И это не дыра в
ЛК> безопасности а нормальное решение для ограничения трафика.
Так, к слову. Это дыра не в безопасности, а в приватности. И сильно
подозреваю, что без надлежащего юридического оформления за это можно
ответить по закону. И отвечать будет в первую очередь тот, кто
реализовал решение. Опять же, у него меньше денег на адвоката...
Это безотносительно к технической стороне ситуации, в которой я в данном
случае не разбираюсь. Но поведение браузера похоже на "загрузить
страницу с невалидным сертификатом как-то уговорили, а про стили и
картинки он и не спросил, просто молча отказался грузить". Я бы
все-таки более внимательно посмотрел на то, как конфигурируется ситуация
с подменой сертификата (в этом случае сертификат все же надо установить)
и как - без (чистый туннель). Я бы не исключил, что конфигурируются они
существенно по-разному, а не "просто отключить ssl_bump".
Reply to: