Category: животные

(no subject)

Поругаю для разнообразия Микрософт:

1. Ознакомился с возможностями Point-to-Site VPN в Azure, ихнем облаке. Впечатлён - редкостное убожество. Аутентификация предусмотрена только по сертификатам, но и это реализовали по-идиотски: заливаешь корневой сертификат в список доверенных, после чего все его потомки признаются доверенными - если только ты explicitly не указал, что вот конкретно этому, этому и этому доверять нельзя. Причём CRL тянуть оно не умеет - указывай там же, на ихнем портале.

То есть чудесно: если у меня и у Васи есть сертификат от, скажем, Comodo, и я хочу организовать нам доступ - то заливая корневой сертификат Comodo я даю доступ к своим облачным сетям всем, у кого тоже есть сертификат от Comodo!

Наиболее приемлемый способ использования этой муры: создавать специальный CA только для юзеров VPN, наштамповать им сертификатов только для этой цели и не забывать указывать их как отозванные, когда доступ кому-то из юзеров уже не нужен. Да, и надеяться, что до лимита отозванных не дойдёшь.

Удивительно: это компания, сделавшая в своё время VPN-гейт с наилучшим набором фич для аутентификации из всех, что я видел - я имею в виду ForeFront TMG. А теперь они выкатывают эту хрень. А TMG они убили! Убили, Карл!

Вообще, опознаванию на сертификатах как-то не везёт, как Булгакову на экранизации. Вот в FortiGate сделали гораздо правильнее: заливаешь корень и перечисляешь список значений поля Subject, которые надо принимать - а все прочие идут лесом. Но при этом не подумали, что если этих фортигейтов в организации больше, чем один, то ведение этих списков превращается в management hell.


2. Сломался у меня давеча скрипт, что CRL в облако публиковал. Полез разбираться - и что же вы думаете? Скрипт мне поломала славная корпорация Микрософт. Я пользовался програмкой cURL - а эти добрые люди решили, что они сейчас пойдут навстречу потребителю и в новой версии PowerShell обозначили curl как синоним своего коммандлета Invoke-WebRequest. Изменение команды на curl.exe решило проблему, но вашу же душу, благодетели!..
  • Current Music
    Flogging Molly - The Worst Day Since Yesterday
  • Tags
    ,

(no subject)

Решил обзавестись собственным домейном 2-ого уровня - в порядке "а пусть будет". Ничего особо умного, что с ним делать, пока в голове нет, но раз появилась возможность урвать на халяву и утащить в зубах - кошачьи рефлексы диктуют урвать.

Пока завёл себе и-мейл - cat@mucius.tk - буду использовать в качестве основного личного. Сертификат к нему тоже есть (в разных форматах - 1, 2), им будет подписываться почта, с ним можно шифровать почту мне. SHA1 fingerprint для валидации - "84 46 05 12 26 d0 68 7c 94 b5 3e 1f 71 c9 b9 2f 86 01 4b e4".

http://mucius.tk - пока тупо редирект на LJ, потом может придумаю что получше.

Если кому интересно в плане "сделайсебесам": захапан домейн на dot.tk (острова Токелау, основные экономические статьи - свиноводство и DNS), хостится на cloudns.net, почтовый хостинг и всякие гугловские ништяки - на Google Apps, мэйловый сертификат - от Comodo, можно ещё и от StartSSL сертификат для сайта оторвать, если надо. Всё это без копейки денег, чем и хорошо.

(no subject)

Дочитал седьмую книгу.
Подробно напишу потом, а пока лишь отмечу момент на близкую мне тему. Кажется, на стене осталось висеть небольшое ружьецо, так и не выстрелившее.

Collapse )