Hai! > O tai kaip mažaminkščiai exchange'ui pridėjo savo verb'us, RVP prokolui - HTTP verb'us, HTTP gali pareikalauti proxy autentifikacijos, kurios konkrečios realizacijos gali būti pačios įvairiausios. HTTP autentifikacija yra feiliukas, nes vartotojui nelabai įdomu kas jos prašo, taigi, jeigu ne https, MITM įmanomas. O šiaip, MITM bet kokį hibridą galį laužt, va įsivaizduokit klientas jungias prie serverio, kuris rekomenduoja naudot SSL. Klientas: EHLO AŠ KLIENTAS, MOKU SSL!!! Serveris: tai ir šnekėk būtinai SSL! Klientas: @#$IS(*ZXKCXIEWUJXKJDIU@#W$E Dabar įdėkim MITM: Klientas: EHLO AŠ KLIENTAS, MOKU SSL MITM Klientui: ESMTP NIEKO AŠ NEMOKU ŠNEKĖK NORMALIAI MITM Serveriui: EHLO AŠ DURNAS KLIENTAS ESMTP: Ėt kaip gaila, nu tai šnekames belenkaip tada Klientas: MAIL FROM <julian@wikileaks> .... > Ir IPSEC, ir saugus raktų perdavimas, pageidautina akis į akį, ir DNR/akies vyzdžio sutikrinimas :-) Na, kam HTTPS reikalingas jau supratom, ane? HTTPS nėr hibridinis protokolas gi, nors va, dažnai prasideda nuo HTTP sesijos. > O velniam? Nes MITM atakos vis dar veikia > Exhibicionistam iš snukiaknygės to nereikia, ??? > o tiem, kas nori įvestuoti į saugumą yra OTP realizacijos, kurios patikimai veikė dar 1 Pasaulinio Karo laikais per telegrafus ir bet ką, kas sugeba išpumpuoti 1 bit/sek. Na, kadangi OTP generuodavo sekretorės mašininkės, pirmo pasaulinio karo laikais jie nebuvo itin saugūs, nes patternai buvo atrenkami :) Domas