Здравствуйте, netch80, Вы писали:

N>И к системам внутри это тоже относится. Передаваемое по PCI или USB обычно не шифруется и не подписывается, эти меры применяются уже снаружи от них. Точно так же поставить внутренние серверы с доступом только через VPN и расслабиться, допуская общие для всех ресурсы видимыми без паролей — нормальная идея.

Не то, чтобы я был готов оспаривать твой тезис, но не могу по случаю не вспомнить про светлую идею подключить через JS к web-у USB и Bluetooth.

Уверен, что по мере внедрения этих дивных технологий мы прочтем еще много интересных новостей из загадочного и увлекательного мира компьютерной безопасности.

N>А теперь скажи мне, как сделать простой и удобный (и межвендорски универсальный) раздатчик https сертификатов для локалки, раз уж ты предлагаешь, чтобы даже поход на местный файловый сервер шифровать. И чтобы все браузеры автоматом подтягивали всё нужное. Q?

Прям даже и задачу могу конкретную подкинуть. Современные принтеры-сканеры общаются с внешним миром по протоколу на основе HTTP (IPP, eSCL), и он, естественно, бывает и в варианте HTTPS. Но только толку от этого HTTPS-а не много, потому, что сертификаты в ентих принтерах самоподписанные и припаянные на фабрике.

Интересно, можно ли получить от этого HTTPS-а больше пользы, чем есть сейчас?

P.S. Кстати, если у CUPS-а на знакомом ему принтере поменяется сертификат, то CUPS встанет в положение "в принтере завелся хакер, требуется вмешательство админа", и больше печатать не будет, пока не придет админ и не починет.