у меня на серваке поднят squid. Там задана авторизация пользователей, топа логин/пароль. Все бы хорошо, но только эти самые логины пароли браузеры передают squidу в открытом виде в base64. А у нас недавно в сети завелся злобный кул хацкер, который сеть снифит, и пароли вытаскивает. Вопрос, как можно в squid требовать не Basic аутентификацию, а то-нибудь более продвинутое, с шифрованием?
P.S. Вариант заменить хабы на свичи не предлагать.

[quot lissyara]
1. заменить хабы на свичи.
2. заменить тип аутентификации


Отвечаю попорядку:
1. заменить на свичи нет возможности, поэтому про этот вариант сразу забываем
2. это я собственно и спрашиваю КАК В SQUIDе поменять аутентификацию на не Basic???

Oerrauth_param схема имя-параметра значение
параметры схемы basic: programm, children, realm, credentialsttl)

authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd

authenticate_children 5 (сколько параллельных процессов будут заниматься аутентификацией)

authenticate_ttl 3600 (сколько секунд кешировать результаты работ программы аутентификации)

authenticate_ip_ttl 0 (чтобы с нескольких мест не пользовались одним именем)



http://surgutnet.ru

а кроме basic какие еще могут быть типы аутентификации?

Oerr[quot lissyara]
http://surgutnet.ru

ссылка прикольная. Там нашел, как виндовые машины через squid пускать, с виндовой же аутентификацией. А у меня линуксовые клиентские машины с линуксовой автентификацией.

А что такое за digest схема аутентификации?

OerrВ исходниках есть дирректория "helpers" В ней Вы найдете все возможные схемы аутентификации. Выберете то что вам подходит.

http://surgutnet.ru

там нет описания этих схем. А меня интересует шифруется ли пароль при передаче его по сети? Этого там не описано. :(

ALex_hha авторесли его перехватить, узнать пароль невозможно
ты в этом уверен? md5 256 bit ломают за 2 часа :).

А вообще squid поддерживает cyrus-sasl2, так что теоретически можно подключить любую аутентификацию.

автортам нет описания этих схем
описания есть в инете.

В конфигурацию оборудования для взлома MD5 за 2 часа не скажешь?

это бред 256бит это 2^256 степени вариантов, это больше чем дофига.

Если ты утверждаешь, что ломают (я не беру в рассмотрение случаи когда паролем является что-нибуль в виде "password", "test" ... а нормальные пароли: "decJHnfg57ndo7" ) то приведи описание взлома с описанием программных и аппаратных средств.

ALex_hha
автора нормальные пароли: "decJHnfg57ndo7"
и этот пароль ты хочешь заставить вводить пользователя каждый раз?

я для примера привел пароль. если пероль простой, то он и за 5 минут ломается. Криптостойкость шифра должна определяться для нормальных паролей, вроде того, что я привел. Если авторы взлома 2 часа ломали пароль "12345" то грош им цена.

ALex_hha авторесли пероль простой, то он и за 5 минут ломается. Криптостойкость шифра должна определяться для нормальных паролей, вроде того, что я привел. Если авторы взлома 2 часа ломали пароль "12345" то грош им цена.
это все понятно, я это знаю. А ты вот попробуй заставить вводить такой пароль начальника, вот тогда и посмотрим. Я вот своих при переходе на домен еле заставил пароль из 4х символов использовать, и то с боем.
если виндовая сеть, то в настройках AD можно задавать минимальный размер паролей, и если юзверь захочет пользоваться компом, то паскай придумывает пароль нужного размера. А в линухе еще проще. там сам рут пароли задает, и может контролировать их длину.