On Thu, 15 Sep 2016 12:53:06 +0300
Bogdan <bogdar@gmail.com> wrote:
>
> Если я правильно интерпретировал документацию. то готовое решение -
> это Auto Enrollment в Microsoft Active Directory Certification
> Services -
> https://technet.microsoft.com/en-us/library/cc771107(v=ws. 11).aspx
> т.е., но к сожалению работает только с AD :/
Кстати, возможно что да. Те, кому нужен security theater будут
использовать винду.
>
> Доступные мне протоколы авторизации позволяют передавать только
> плейнтекст, либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх
> TLS-сессии. Защищенность такой сессии зависит исключительно от
> корректности настройки (принудительная проверка "моего" CA) на
Да, ну и что? Уязвимым местом является все равно не TLS-сессия, а
хранение пароля или закрытго ключа на устройстве пользователя и
возможность внедрения к нему на устройство кейлоггера.
Использование авторизации по сертификатам как правило, снижает
usability сильнее чем повышает security.
Если сервис использует публичное доменное имя и публичный CA (хотя бы и
startssl.com или letsencrypt), то mitm-атака, позволяющая получить хеш
от пароля требует серьезной организационной поддержки - компрометация
публичного CA под силу, пожалуй, только спецслужбе государства.