forum.opennet.ru

Составление сообщения

Исходное сообщение

"Атака Continuation flood, приводящая к проблемам на серверах..."
Отправлено Аноним, 06-Апр-24 09:03

> Вы отстали, там уже всё лишнее давно срезали.
По моему отстал не я. H2 технически более совершенная штука.
> Жрёт больше, работает лучше.
Поэтому верхушка top busiest на h2? ;)
> У вас помимо боязни багов ещё фобия до использования системных ресурсов :)
Двойные стандарты не рулят. Я применю к вам ваши же заявочки в адрес вон тех и посмотрю как вы под этим углом. Так честнее.
> То что кто то включил на сервере http/2 не означает что это было решение принятое
> на основании каких либо изысканий, считай обдуманное и обоснованное.
Крупняк который это ВЕСЬ сделал - умеет такое ;)
> Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс,
Чем лучше UX тем чаще и охотнее юзают сервис. Иногда запрос не оч важен, юзер колеблется между забить или спросить. Чем тормознее, тем больше выберут "забить".
> Так же как до того они возможно увидели тенденцию что рекламу вырезать
> на обычном http проекси очень легко и начали всех натягивать на TLS.
Легче - в браузерной спамодавке, даже врезаные в пагу блоки скрыть может. А в прокси это как?
> Чувак, мне надо чтобы оно работало, а не чтобы оно было мифически безопасным.
Чувак, двойные стандарты и скидки себе - не рулят.
> из сценариев того что я изредка делаю.
Даю 99.5% что это синдром утенка и/или NIH.
> уязвимостей имеет огромную отрицательную стоимость.
Не хуже чем ваши конструкции на шелле.
> (это нужно было одно время когда я рутовал андройды чтобы скачать пару
> файлов, включая opkg, который дальше уже сам качал).
А там нет ни wget ни нетката? В любом случае нишевая задача решаемая более 9000 способов.
>> Пока хаксор не пришлет ../../../../etc/password твоему серваку :)
> И!?
Ы. Почему я должен с вон тех спросить а с вашей наколени - нет? Вы типа особенный?
> Я не буду вырезать это, я просто сделаю:
И все равно будет более 9000 способов залететь. Я видел как это работает, можете не пытаться мне рассказывать.
> Просто у вас психическое расстройство, я не шучу.
Просто я немного интересовался топиком. И видел как выглядит девелоп вебсерваков с ноля. Даже для HTTP 1.x. А хамить в таком стиле когда весь мир юзает H2 - удачи, посмотрим у кого расстройство.
> Плевать на CVE, единственное что имеет смысл это положительное
> соотношение: профита/негатива.
Удачи вам в ваших начинаниях, сэр. И уж не обижайтесь когда ваши наколенные поделки на шелле никому не вопрутся даже бесплатно. Да, я тоже могу невкусно отлупить.

> Как в денежном так и на уровне восприятия. Но в отсновном в деньгах считают.
Оок! А если ваши стандарты применять - к вам? Ваше поделие на баше стоит ровно $0.00 для внешнего мира, а время потрачено. EPIC FAIL. Как вам такая идея? :)
> разницы какие там будут ошибки - потому что ошибки я исправлю
> когда они найдутся, главное чтобы оно делало то что мне надо.
Для внешнего мира ценность хни на шелскрипте как HTTP сервера - имхо 0.
> Вы бы читали и понимали прочитанное для начала.
Вы бы научились еще думать головой и не хамить, вообще было бы замечательно.
> Это про различные интерпретации заголовков и их последовательностей.
Да, и одна из ипостасей это например разная реакция на допустим CR, LF, CR+LF. Спеки все читали по диагонали и воон там красиво на этом налетали. С прикольными CVE. Вот прям на этом.
> а другие последний (повторяющийся заголовок), и потому идёт различная интерпретация.
А еще бывает так что они там по разному реагируют на заголовки с "аномалиями" и отклонениями от стандарта, фронт и бэк десинкаются и в лучшем случае подарок от атакующего прицепится к чужому запросу (например вон того админа, сделав что-то от его лица).
> А переводы строк - это древняя древнота, по стандарту CRLF, на остальное можно забить,
Ага, только "можно забить" у разных фронтов/бэков бывает сделано по разному, и тогда... :))). А заодно есть и вариант когда H2 фронт и H1 бэк это дело могут по разному понять, в эту игру можно играть и вдвоем.
> На фоне той же бесполезной рекламы, отвратительных трекеров, корявых жабаскриптах и
> прочем мусоре который генерит современная веб индустри эти заголовки даже не 0,0001%
Ога, ога, у гитхапы всего 66 яваскриптов заинклюжено... врядли это вон та величина будет. Ща в моде мелко и модулярно нарезать. Когда протокол диктует логику и структуру контента это булшит, господа.

> трафика. Вы опять решаете проблемы которой нет.
Да вас послушать - можно было на деревянной телеге с клячей рассекать. И чего Форду спокойно не сиделось?! Нет бы более быстрых лошадей выводил...

Исходное сообщение
"Атака Continuation flood, приводящая к проблемам на серверах..." Отправлено Аноним, 06-Апр-24 09:03
> Вы отстали, там уже всё лишнее давно срезали. По моему отстал не я. H2 технически более совершенная штука. > Жрёт больше, работает лучше. Поэтому верхушка top busiest на h2? ;) > У вас помимо боязни багов ещё фобия до использования системных ресурсов :) Двойные стандарты не рулят. Я применю к вам ваши же заявочки в адрес вон тех и посмотрю как вы под этим углом. Так честнее. > То что кто то включил на сервере http/2 не означает что это было решение принятое > на основании каких либо изысканий, считай обдуманное и обоснованное. Крупняк который это ВЕСЬ сделал - умеет такое ;) > Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс, Чем лучше UX тем чаще и охотнее юзают сервис. Иногда запрос не оч важен, юзер колеблется между забить или спросить. Чем тормознее, тем больше выберут "забить". > Так же как до того они возможно увидели тенденцию что рекламу вырезать > на обычном http проекси очень легко и начали всех натягивать на TLS. Легче - в браузерной спамодавке, даже врезаные в пагу блоки скрыть может. А в прокси это как? > Чувак, мне надо чтобы оно работало, а не чтобы оно было мифически безопасным. Чувак, двойные стандарты и скидки себе - не рулят. > из сценариев того что я изредка делаю. Даю 99.5% что это синдром утенка и/или NIH. > уязвимостей имеет огромную отрицательную стоимость. Не хуже чем ваши конструкции на шелле. > (это нужно было одно время когда я рутовал андройды чтобы скачать пару > файлов, включая opkg, который дальше уже сам качал). А там нет ни wget ни нетката? В любом случае нишевая задача решаемая более 9000 способов. >> Пока хаксор не пришлет ../../../../etc/password твоему серваку :) > И!? Ы. Почему я должен с вон тех спросить а с вашей наколени - нет? Вы типа особенный? > Я не буду вырезать это, я просто сделаю: И все равно будет более 9000 способов залететь. Я видел как это работает, можете не пытаться мне рассказывать. > Просто у вас психическое расстройство, я не шучу. Просто я немного интересовался топиком. И видел как выглядит девелоп вебсерваков с ноля. Даже для HTTP 1.x. А хамить в таком стиле когда весь мир юзает H2 - удачи, посмотрим у кого расстройство. > Плевать на CVE, единственное что имеет смысл это положительное > соотношение: профита/негатива. Удачи вам в ваших начинаниях, сэр. И уж не обижайтесь когда ваши наколенные поделки на шелле никому не вопрутся даже бесплатно. Да, я тоже могу невкусно отлупить. > Как в денежном так и на уровне восприятия. Но в отсновном в деньгах считают. Оок! А если ваши стандарты применять - к вам? Ваше поделие на баше стоит ровно $0.00 для внешнего мира, а время потрачено. EPIC FAIL. Как вам такая идея? :) > разницы какие там будут ошибки - потому что ошибки я исправлю > когда они найдутся, главное чтобы оно делало то что мне надо. Для внешнего мира ценность хни на шелскрипте как HTTP сервера - имхо 0. > Вы бы читали и понимали прочитанное для начала. Вы бы научились еще думать головой и не хамить, вообще было бы замечательно. > Это про различные интерпретации заголовков и их последовательностей. Да, и одна из ипостасей это например разная реакция на допустим CR, LF, CR+LF. Спеки все читали по диагонали и воон там красиво на этом налетали. С прикольными CVE. Вот прям на этом. > а другие последний (повторяющийся заголовок), и потому идёт различная интерпретация. А еще бывает так что они там по разному реагируют на заголовки с "аномалиями" и отклонениями от стандарта, фронт и бэк десинкаются и в лучшем случае подарок от атакующего прицепится к чужому запросу (например вон того админа, сделав что-то от его лица). > А переводы строк - это древняя древнота, по стандарту CRLF, на остальное можно забить, Ага, только "можно забить" у разных фронтов/бэков бывает сделано по разному, и тогда... :))). А заодно есть и вариант когда H2 фронт и H1 бэк это дело могут по разному понять, в эту игру можно играть и вдвоем. > На фоне той же бесполезной рекламы, отвратительных трекеров, корявых жабаскриптах и > прочем мусоре который генерит современная веб индустри эти заголовки даже не 0,0001% Ога, ога, у гитхапы всего 66 яваскриптов заинклюжено... врядли это вон та величина будет. Ща в моде мелко и модулярно нарезать. Когда протокол диктует логику и структуру контента это булшит, господа. > трафика. Вы опять решаете проблемы которой нет. Да вас послушать - можно было на деревянной телеге с клячей рассекать. И чего Форду спокойно не сиделось?! Нет бы более быстрых лошадей выводил...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру