| |
| 2.49, Аноним (49), 02:21, 05/04/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вектор атаки прост как топор. Сейчас в сервисах ограничения на входные данные не проверяют разве что совсем конченые. А с HTTP/2.0 сразу понятно где грабли зарыты и на что нужно обращать внимание в реализациях
| | |
|
| 1.3, Аноним (3), 14:30, 04/04/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста.
| | |
| |
| 2.8, Аноним (8), 14:54, 04/04/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
У HAProxy своих CVE хватает.
Все равно соглашусь - штука классная.
| | |
| |
| 3.9, Аноним (3), 14:58, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> У HAProxy своих CVE хватает.
Не хватает.
Я бы сказал — их там дефицит.
| | |
|
| 2.40, Аноним (-), 23:11, 04/04/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста.
На нжинкс тоже походу не сработало. Эти думают бошкой сколько ресурсов на запрос оно сожрет, а не просто копают от забора до обеда как веьманки.
| | |
|
| 1.6, Golangdev (?), 14:51, 04/04/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна
Ух! Страшна!!!
> Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2
Жаль что Go затронут, но хорошо что с Java всё хорошо )
| | |
| |
| 2.64, Хейтер (?), 11:47, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>хорошо что с Java всё хорошо
- в списке не подверженных (как и подверженных) атаке серверов не заметно Tomcat. Так что не факт что с Java "всё хорошо"
| | |
| |
| 3.67, Golangdev (?), 12:48, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
сами себе противоречите
совет - проверяйте сообщение, прежде чем его отправить
а с джавой действительно всё хорошо %)
| | |
| |
| 4.72, Хейтер (?), 14:55, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>сами себе противоречите
- способны написать в чём? Лично я противоречий в своем посте не вижу, но если что-то непонятно готов пояснить
>а с джавой действительно всё хорошо %)
- если Вы такой умный, то подскажите дуракам, есть описанная уязвимость в Tomcat или нет? Или Вы только по советам мастер?
| | |
|
|
|
| 1.10, 12yoexpert (ok), 15:04, 04/04/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 до сих пор не понимаю, зачем что-то, кроме http1.1
вместо чтоб выпилить гигабайты джаваскрипта и телеметрии - будем двигать кровати и усложнять стандарты
а оправдывать это будем ложью о медленной скорости установки соединения в http 1.1
| | |
| |
| 2.11, Аноним (11), 15:24, 04/04/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Лучше перфокарт голубями ничего не придумали, http для смузихлебов!
| | |
| |
| 3.41, Аноним (-), 23:12, 04/04/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Лучше перфокарт голубями ничего не придумали, http для смузихлебов!
"Не стоит недооценивать бандвиз голубя груженого microSD картами" (современная версия идеи).
| | |
|
| 2.16, Аноним (16), 15:49, 04/04/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !"
| | |
| |
| 3.42, Аноним (-), 23:14, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !"
А у него фрейминг внезапно почти такой же - и то что там на точно такую же граблю те же самые для симметрии не встали вообще не факт. Зато какому-нибудь nginx и там как обычно все похрен будет.
| | |
|
| 2.27, Anonymous_x (?), 17:58, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> зачем что-то, кроме http1.1
Тоже так подумал изначально.
и даже не пытался на своём локалхосте раскомментировать апачи
'''#LoadModule http2_module modules/mod_http2.so'''
| | |
|
| 1.19, Аноним (19), 15:59, 04/04/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Что характерно, дыры найдены исключительно в крякозябра-языках (C, PHP, JS).
В человеческих языках, таких как Ruby, дыр нет. Поэтому да, читаемость кода многое значит для безопасности.
| | |
| |
| 2.22, Аноним (1), 16:03, 04/04/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты пишешь это на ОС написаной на человеческом языке, а сообщение в Интренет отправил драйвер, написаный на руби?
| | |
| |
| 3.25, Аноним (25), 17:04, 04/04/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Наверное, из будущего. У них там ядро Linux переписано на Rust.
| | |
|
| 2.24, анонка (?), 17:04, 04/04/2024 [^] [^^] [^^^] [ответить]
| +7 +/– |
я скорее думаю, что про руби все забыли и там просто никто не искал)
| | |
| 2.26, Аноним (26), 17:18, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
На Brainf*ck-e тоже не найдено не одной уязвимости. Думаете дело в читаемости кода?
| | |
| 2.28, Аноним (3), 18:49, 04/04/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> В человеческих языках, таких как Ruby, дыр нет.
Ага. Потому что там HTTP/2 нет https://github.com/puma/puma/issues/454
> Поэтому да, читаемость кода многое значит для безопасности.
Ни один нормальный программист не будет читать код на Ruby. Писать — тем более.
| | |
| |
| 3.36, Sw00p aka Jerom (?), 21:37, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
тут список есть
https://kb.cert.org/vuls/id/421644
HTTP/2 attacks involving CONTINUATION headers do not impact the resource utilization of F5 products (including BIG-IP products, NGINX and F5 Distributed Cloud).
As with other DoS vectors (HTTP/1.x and HTTP/2), for NGINX F5 recommends tuning the following settings to suit your environment (worker_rlimit_nofile, worker_connections, keepalive_timeout, client_header_timeout). Similarly, F5 recommends configuring appropriate limits and protections for BIG-IP products (e.g., AFM DoS Profiles, ASM DoS Profiles, Virtual Server connection limits and timeouts and, for HTTP/2, the Concurrent Streams Per Connection setting).
| | |
| 3.45, Аноним (-), 23:19, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Haproxy, nginx - C, но в списке их нет.
Пусть лучше покажет парсер HTTP/2 на рубях, который вообще кому-то и зачем-то будет нужен в таком виде. Писать ЭТО на тормозной скриптоте - бессмысленно и беспощадно. Но голимый пиар же не запретишь :)
| | |
| |
| 4.47, Ivan_83 (ok), 01:22, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
 На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать под мизерную нагрузку чем ставить и настраивать что то отдельное.
| | |
| |
| 5.50, Аноним (-), 02:42, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
> На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать
> под мизерную нагрузку чем ставить и настраивать что то отдельное.
Но посмотреть как бы он на деле спправился с этой задачей - вместе с фреймингом и HPACK - было бы интересно. А вот после этого можно было бы поговорить сколько там у него ресурсных вулнов якобы не будет. На словах все донкихоты, а реализуй они и правда этот протокол своей рубей - у них оно поди вообще развалится в хлам от первого же тыкания палочкой.
| | |
| |
| 6.51, Ivan_83 (ok), 03:15, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
Лично я не вижу смысла в HTTP/2 вообще, а реализовывать его на высокуровневых языках тоже смысла нет, проще обычный 1.1 разобрать и закрыть проблему с транспортом и перейти к реализации функционала какогото полезного/нового.
| | |
| |
| 7.54, Аноним (-), 05:46, 05/04/2024 [^] [^^] [^^^] [ответить] | +/– | Параллельные потоки, меньше RTT ненужных, нет Head Of Line Blocking Поэтому вы ... большой текст свёрнут, показать | | |
| |
| |
| 9.61, Аноним (-), 09:16, 05/04/2024 [^] [^^] [^^^] [ответить] | +/– | Угу, пока не начинается отток юзерей и не возникает вопрос ребром а из чего мы ... текст свёрнут, показать | | |
|
| |
| 9.68, Аноним (68), 13:06, 05/04/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Зато протокол может поубавить их число и влияние на перфоманс Это жрет больше с... большой текст свёрнут, показать | | |
| |
| 10.70, Ivan_83 (ok), 13:38, 05/04/2024 [^] [^^] [^^^] [ответить] | +/– | Вы отстали, там уже всё лишнее давно срезали Жрёт больше, работает лучше У вас... большой текст свёрнут, показать | | |
| |
| 11.77, Аноним (-), 09:03, 06/04/2024 [^] [^^] [^^^] [ответить] | +/– | По моему отстал не я H2 технически более совершенная штука Поэтому верхушка to... большой текст свёрнут, показать | | |
| |
| 12.79, Ivan_83 (ok), 21:53, 06/04/2024 [^] [^^] [^^^] [ответить] | +/– | Это ничего не значит Миллионы мух не могут ошибатся Где UX и где задержка в 5 ... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
| |
| 3.39, голос из леса (?), 23:10, 04/04/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>> Дело не в языке, а в реализациях протокола.
Дело не в языке, а в спецификации протокола, при реализациях которой приходится делать не описанные в протоколе ограничения.
| | |
| |
| 4.46, Аноним (-), 23:22, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Дело не в языке, а в спецификации протокола, при реализациях которой
> приходится делать не описанные в протоколе ограничения.
Извини, весь common sense в спецификации не вколотишь. А сколько ты там ресурсов в сервер вбухать готов - кто ж знает? Вдруг у тебя там петабайт оперативы? Тогда атакующий трафик заманается наливать и это вообще не атака.
| | |
|
|
| 2.44, Аноним (-), 23:18, 04/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
> В человеческих языках, таких как Ruby, дыр нет. Поэтому да, читаемость кода
> многое значит для безопасности.
А много на ruby реализаций HTTP/2 с разбором фреймов его потока то? Или там перфоманс операции такой что это никому нахрен не уперлось в таком виде - так что не ошибается тот кто ничего не делает?
| | |
| |
| 3.75, Аноним (74), 19:43, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
По крайней мере одна реализация существует. Но вообще-то это типичная задача для реализации на С и прикручивания биндингов для более высокоуровневых разных языков. Чтобы и реализация была быстрой, и разработка.
| | |
|
| 2.78, Аноним (78), 13:56, 06/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
На рубях написан хттп сервер? Сколько там запросов в секунду? 5-10?
| | |
|
| |
| 2.48, Аноним (-), 01:23, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Вангую фиксинг дропом поддержки http/2.
В пользу HTTP/3 - который суть то же самое, но поверх UDP.
| | |
| |
| 3.57, Аноним (57), 07:40, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
HTTP/3 даже не поддерживает HTTP! Вот умора! Только шифрование HTTPS под сертификатами (((авторитетов))) прибитое гвоздями и болшьеш никак! Цифровой гуглаг чистой воды.
| | |
|
|
| 1.52, Аноним (52), 04:49, 05/04/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
NIST awards $3.6 million to address the cybersecurity workforce gap
The grants of roughly $200,000 each will go to 18 education and community organizations in 15 states that are working to address the nation’s shortage of skilled cybersecurity employees.
Источник: https://www.helpnetsecurity.com/2024/04/04/nist-cooperative-agreements-3-6-mil
Может специалисты ИБ помогут. А в целом, похоже на то что готовиться HTTP3 к массовому выходу и это похоже на рекламу.
| | |
| |
| 2.53, Аноним (52), 04:58, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
Сидеть на гугле будут все! Хотя казалось бы - чего так сложно то разработать свои технологии? Всё начинается с умных людей (философов), которые порождают умную идеологию своего мира. Потом уже другие умные люди согласно этой технологии порождают технологии, предоставляя возможности. И уже потом другие умные люди этими технологиями пользуются - лечат других людей, общаются, обучают, защищают, выращивают, торгуют.
И вот тут я задаюсь вопросом - где в этом всем веб с его HTTP2.0, которым заправлять будет одна американская компания? Мне кажется что современные инструменты открытого кода какие-то неправильные.
| | |
| |
| |
| 4.56, Аноним (-), 07:31, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Капитализм. При коммунистах такого не было.
Логично! Нет интернета - нет вулнов в его протоколах. При коммунистах - в СССР гражданам было строго запрещено юзать модемы.
| | |
| |
| 5.59, Аноним (55), 08:02, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
А зачем им арпанет, американская военная сеть? Были свои процессоры, компьютеры, протоколы и сети.
| | |
| 5.60, 1 (??), 09:13, 05/04/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пруфы будут ?
При СССР вполне себе продавался модем Менатеп (sic!), 2400, Манчестерский код. Вязался только промеж собой. Можно было от телефониста получить люлей, так как забивал не только свою, но и соседние линии.
| | |
| |
| 6.63, Аноним (68), 10:35, 05/04/2024 [^] [^^] [^^^] [ответить] | +/– | Насколько я помню подключать модемы как впрочем и аоны было запрещено правилами ... большой текст свёрнут, показать | | |
| |
| 7.66, Ivan_83 (ok), 12:27, 05/04/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
При совке АОН только появился, как фича для самих телефонистов.
Бывало возьмёшь трубку чтобы ответить на звонок а там мелодичный звук с пол секунды - это АТС слало номер.
И первые АОН просто декодировали этот звук.
Уже после развала совка телефонисты начали мутить и хотеть срубить бабла, и сигнал АОН в начале перестали отправлять всем подряд и слали только по запросу, и у многих АОН пришлось менять на такой который умел слать запросы.
Ещё лет через 5 у них появилась возможность это как то привязать к биллингу и они захотели рубить за фичу денег, это уже ближе к 2к году было.
А уж что подключено у абонента дома - так тут хер докажешь, если только он телефонную линию в 220 не воткнул, ибо домой телефониста никто не пустит, а даже с участковым есть куча времени чтобы выдернуть всё ненужное из телефонной линии.
Что касается модемов - то пока время не тарифицировалось у телефонистов пригорало, ибо падал коэфициент мультиплексирование, деградировала услуга и они получали люлей.
А их АТС в те времена могло одновременно коммутировать ограниченное число линий.
Но сделать они с этим ничего не могли: потому что слушать абонента запрещено, а если ты не слушаешь что там внутри то и доказательств что он там по часу не болтает а модемится у тебя нет.
В общем они это победили опять же глубоко после 2к года введя повременную оплату, примерно с этим пришли всякие домонеты и DSL.
Про засирание модемом соседних линий - брехня.
Такое могло происходить только в случае если как обычно затопило линии и они коротят между собой.
В общем не сочиняйте того чего не знаете.
| | |
| |
| 8.69, Аноним (68), 13:22, 05/04/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Он вообще вроде как фича СОРМ изначально задуман был Но фичу прочухали и стали ... большой текст свёрнут, показать | | |
| |
| 9.76, Имя (?), 22:32, 05/04/2024 [^] [^^] [^^^] [ответить] | +/– | Он был задуман для биллинга выхода на автоматический межгород 8 на координат... текст свёрнут, показать | | |
|
|
| 7.71, Kuromi (ok), 13:49, 05/04/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Помню как в 2000-е телефонисты в СМИ возмущались тому что проклятые dial-up-ы делают на их телефонных линиях бабло, а им только нагрузка на сеть достается.
А еще байки о том как в Москве в 90-ые и начале нулевых по ночам шли обзвоны в поисках модемов которые трубку поднимут. Искали "нелегальные узлы связи",а так же фидонетчиков всяких.
Впрочем, говорят в 90ые после распада СССР принтеры полагалось в милиции регистрировать поначалу, а то вдруг самиздат начнется...
| | |
|
|
|
|
|
|
| 1.62, YetAnotherOnanym (ok), 09:29, 05/04/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > приводит к передаче на сервер большого числа заголовков, которые сервер сохраняет в оперативной памяти до тех пор, пока доступная процессу память не будет исчерпана
> Для HTTP/2 в силу усложнения протокола многие реализации не предусмотрели подобные методы защиты от бесконечной отправки заголовков
Ыыы... какая прелесть!
| | |
|
