Date: 2024-06-26 04:37 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Вот чтобы не было воровства аутентификационных токенов на клиенте, надо авторизовываться по ключам, а секретные ключи хранить на аппаратном токене. Тогда чтобы спереть ключ, нужно будет железяку спереть. Физически.

openvpn так может, ssh твк может, микрософтовская реализация SSTP тоже может. А свободные даже не пытаются.

Ну и с session cookiie тоже есть определенные проблемы. Для VPN понятие session как-то не определено. Да и http у нас session less. Поэтому устаревание session cookie это примерно такой же security theater как насильственная смена пароля раз в две недели.

Что касвется разнесения хранилизща авторизационной информации и шлюда VPN по разным устройством, то это да, у данной защитной меры есть своей use case. Но у меня-то не коропоративная сеть. Стоит одна виртуалка в провайдерском датацентре, а все остальные - ее клиенты. Поэтому разнесение авторизационной БД и VPN-сервера по разным процессам в этой виртуалке вряд ли поможет. Хотя ... если засунуть vpn-сервер в chroot, и отобрать у него все привилелгии кроме CAP_NET_ADMIN и CAP_NET_RAW...

This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

July 2025

S M T W T F S
  12345
6789 1011 12
13141516171819
20212223242526
2728293031  

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 12th, 2025 04:20 pm
Powered by Dreamwidth Studios