| |
| |
| |
| |
| |
| 6.47, лки Новый Год (?), 06:22, 31/12/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>""Я вот так, навскидку, сразу и не вспомню "other German-speaking countries" :)
Австрия если только,... ""
С википедии:
Germany
Austria
Switzerland
Liechtenstein
да и в соседних областях той же Чехии и Польши многие жители говорят/понимают по немецки
| | |
| |
| 7.65, pavlinux (ok), 20:13, 31/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > С википедии:
Ключевое слово "навскидку", то есть из мозга. :)
А как один из государственных, в Бельгии ещё.
| | |
|
|
|
|
|
|
| 1.2, Аноним (-), 11:51, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
тоесть в чём суть исправления как я понимаю:
...при создании каждого Хэш-объекта (Хэш-словаря) -- в него должно записываться случайная переменная "R" (так её условно назовём)
затем при помещении/извлечении в каждый такой Хэш-Словарь Key/Value значений -- необходимо делать операцию "Real_Key = Key XOR R"
вродебы не сложно :-)
| | |
| |
| 2.23, arisu (ok), 19:24, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
 суть исправления в том, чтобы подсаливать хэш рандомными (но, натурально, постоянными для одного сеанса) значениями.
| | |
|
| 1.4, ЬТЛ (?), 12:53, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
приятно что такие решения "отдают" для фикса, а не используют.
| | |
| |
| 2.14, const86 (ok), 15:29, 30/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Точно не используют? Может, уже извлекли, так сказать, выгоду и настало время подумать о совести :) Да и после публикации вполне можно использовать, пока везде не пофиксят.
| | |
| |
| |
| 4.25, Аноним (-), 19:44, 30/12/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
В новости сказано, что в Perl проблема исправлена уже в 2003 г, т.е. проблема известна 9 лет, а то и больше. Все кому надо успели попользоваться )
| | |
|
|
|
| |
| 2.9, Аноним (-), 13:19, 30/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> интересно, а те хеши, которые используются в iptables/conntrack, тоже уязвимы?
В хэш netfilter произвольное значение не передать, там жестко структурированные значения, типа ip и номера порта.
| | |
| |
| 3.11, Анонимус 84705648 (?), 13:56, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
ну, можно, например, попробовать зафлудить целевой узел udp-пакетами с поддельными src_ip:src_port, причём src_ip:src_port выбирать так, чтобы хеш в netfilter получался всегда одинаковым
| | |
| |
| 4.66, XoRe (ok), 04:18, 01/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > ну, можно, например, попробовать зафлудить целевой узел udp-пакетами с поддельными src_ip:src_port,
> причём src_ip:src_port выбирать так, чтобы хеш в netfilter получался всегда одинаковым
Боюсь, 95% трафика идет с одинаковыми параметрами "src_ip:src_port".
Как передаются файлы по ftp - договорились насчет src_port+dst_port и понеслась.
За одно соединение можно миллиарды пакетов передать.
По UDP тоже самое - nfs и netbios предполагают большое число пакетов с одинаковыми параметрами.
Ниже указали строчку из исходников nf_conntrack.
Я думаю, в ядре эту дырку закрыли ещё раньше, чем в perl.
| | |
|
| 3.13, фклфт (ok), 15:29, 30/12/2011 [^] [^^] [^^^] [ответить] | –2 +/– |  Вы не поверите но я уже несколько раз за последние года 4 у себя в логах замечал... большой текст свёрнут, показать | | |
| |
| 4.29, Аноним (-), 20:45, 30/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> у себя в логах замечал попытку добавления правила на фаере
Чувак, я не хочу тебя расстраивать, но у тебя кажется на серваке что-то идет не так. Понимаешь, правила сами по себе добавляться не могут. Добавить их может троянец, хакер, ну или ты сам. Ремотное добавление правил как-то не предусмотрено дизайном айпитаблеса само по себе.
| | |
| |
| 5.40, Аноним (-), 23:15, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Чувак, я не хочу тебя расстраивать, но у тебя кажется на серваке
> что-то идет не так. Понимаешь, правила сами по себе добавляться не
> могут. Добавить их может троянец, хакер, ну или ты сам. Ремотное
> добавление правил как-то не предусмотрено дизайном айпитаблеса само по себе.
Есть такая штука - libvirt. Считает, что гораздо лучше админа знает, какие правила должны быть в iptables. Ее происки легко узнать по ключевым словам "192.168.122.0/24" и "virbr0".
| | |
| |
| 6.44, 12у34 (?), 03:12, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
поясните каким образом связаны библиотека для виртуализации и iptables.
| | |
|
|
|
|
| 2.17, Аноним (-), 16:34, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> интересно, а те хеши, которые используются в iptables/conntrack, тоже уязвимы?
Нет, там используются хеши Дженкинса.
| | |
| |
| 3.24, arisu (ok), 19:36, 30/12/2011 [^] [^^] [^^^] [ответить]
| –5 +/– |
>> интересно, а те хеши, которые используются в iptables/conntrack, тоже уязвимы?
> Нет, там используются хеши Дженкинса.
я тебе сейчас секрет скажу, только ты присядь сначала: от типа хэш-функции наличие/отсутствие уязвимости не зависит.
| | |
| |
| 4.27, Аноним (-), 20:37, 30/12/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если использовать криптографически стойкое хеширование да еще индивидуальной соли добавить - искать коллизии станет довольно утомительно, разве нет? Правда скорость будет заметно хуже.
| | |
| |
| 5.49, Аноним (-), 13:45, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Если использовать криптографически стойкое хеширование да еще индивидуальной соли добавить
> - искать коллизии станет довольно утомительно, разве нет? Правда скорость будет
> заметно хуже.
наверно в нашем случае достаточно всего лишь "индивидуальной соли добавить" :-)
ведь сложновато найти коллизию хэша, если даже само хэш-значение не отображается в наружу :-) :-)
| | |
|
| 4.39, Аноним (-), 23:12, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> я тебе сейчас секрет скажу, только ты присядь сначала: от типа хэш-функции наличие/отсутствие уязвимости не зависит.
Ну найдите мне хоть коллизию для conntrack tuple, а то языком трепать все горазды :D
| | |
|
|
| 2.42, Аноним (-), 23:50, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> интересно, а те хеши, которые используются в iptables/conntrack, тоже уязвимы?
Судя по строчке из nf_conntrack_core.c
> return jhash2((u32 *)tuple, n, zone ^ nf_conntrack_hash_rnd ^ (((__force __u16)tuple->dst.u.all << 16) | tuple->dst.protonum));
там используется добавление случайной соли (nf_conntrack_hash_rnd), так что плакали все коллизии :)
| | |
|
| |
| 2.41, Аноним (-), 23:21, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> для asp.net пофиксили сразу
Не сразу, а с опозданием на 8 лет. Сразу - это в перле пофиксили.
Мелокософт, как обычно, "заботится" о безопасности.
| | |
|
| |
| 2.67, XoRe (ok), 04:20, 01/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> c таким прогрммирование страно что мир ещё работает )
Тссс, никому не говорите)
| | |
|
| 1.43, svn (??), 01:05, 31/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Проще не дерево, а обрабатывать параметны по мере получения. А не так как делает пыхпых читая мегабайты, засовывая их в хешмап, даже если обработчик post запроса вообще не нуждается в параметрах.
В стандарт http добавить порядок параметров, чтобы авторизация шла первой.
Скрипты обязать регистрировать входные параметры ПЕРЕД началом обработки полученных от клиента данных, чтобы все не заявленные данные post запроса игнорировались. Ключи хеша определяются на стороне сервера - значит нет проблемы.
| | |
| |
| 2.50, Аноним (-), 13:50, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Проще не дерево, а обрабатывать параметны по мере получения. А не так
> как делает пыхпых читая мегабайты, засовывая их в хешмап, даже если
> обработчик post запроса вообще не нуждается в параметрах.
> В стандарт http добавить порядок параметров, чтобы авторизация шла первой.
> Скрипты обязать регистрировать входные параметры ПЕРЕД началом обработки полученных от
> клиента данных, чтобы все не заявленные данные post запроса игнорировались. Ключи
> хеша определяются на стороне сервера - значит нет проблемы.
всё это предложенное -- замечательно :-) .. но если предположить что уязвимость в хэш-словарях не будет исправлена -- то сёравно найдётся какойто другой (НЕ унивирсальный для каждого сайта) способ её заэксплуатировать!
| | |
| 2.51, Аноним (-), 13:58, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> В стандарт http добавить порядок параметров, чтобы авторизация шла первой.
а она первой и идёт там...
...там header-поле "WWW-Authenticate: ..." (а уж только потом ниже передаётся тело POST-запроса)
нужно просто поголовно ВЕЗДЕ использовать AJAX на WWW-страницах. доступ к полю "WWW-Authenticate: ..." у XMLHttpRequest-объекта вполне себе есть, например. а также надо забить на MsIE (для которого AJAX пришлось бы делать индивидуально) и забить на нытиков, которые используют NoScript :)
получилибы вообще от AJAX сполшные плюсы! шаблонизировать страницу сайта (на стороне сервера) при каждом запросе не пришлосьбы.. HTTP-данные лишнии при каждом запросе пересылать не пришлосьбы тоже. скорость интернета увеличилась бы, и былобы щастье :-)
| | |
| |
| 3.52, Аноним (-), 14:02, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
поясню немного глубже...
header-поле "WWW-Authenticate: ..." не обязательно использовать только для BASIC аудентификации. туда можно (и это НЕ хак!) запихнуть любой вид значения, которое программист щитает что необходим для аудентификации пользователя для авторизации действия.... например можно указать:
WWW-Authenticate: SESSION_ID 1234abc124acb123abc123abc
| | |
| 3.69, terr0rist (ok), 16:36, 01/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Не пишите ересь. Чем AJAX HTTP-запрос отличается от обычного? вам не приходит в голову, что AJAX - это не протокол, и даже не модификация протокола, а всего лишь способ послать запрос из браузера без перезагрузки страницы? Объект XMLHttpRequest не имеет никакого отношения к методам хеширования, авторизации, разбора заголовков или распития спиртных напитков на сервере.
> скорость интернета увеличилась бы
да, конечно, в 100 раз. По 100-мбитной сети сразу до 10Гб. Вы даже не знаете, что интернет - это не только НТТР и "лишние НТТР-данные" (НТТР-заголовки) - это наверно одна квинтиллионная всего трафика. Хотя что говорить, аноним такой аноним.
| | |
| |
| 4.76, Аноним (-), 14:46, 03/01/2012 [^] [^^] [^^^] [ответить] | –1 +/– | всмысле если обычный -- это form form -- то отличия весьма очевидны... большой текст свёрнут, показать | | |
|
|
| 2.64, Аноним (-), 20:05, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Вот всегда находится какой-нибудь <вырезано цензурой>, который предлагает ошибки реализации исправлять переделывая протокол.
| | |
| |
| 3.71, Аноним (-), 04:27, 02/01/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот всегда находится какой-нибудь <вырезано цензурой>, который путает ошибки реализации с ошибками архитектуры.
| | |
|
|
| 1.75, Аноним (-), 10:20, 03/01/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Я все жду когда в PHP появиться поддержка распарсить параметер по требованию. Что-то вроде $_POST->getParam. А распарсеные параметры уже закешировать в этих ваших HASH и хранить.
P.S. Кстати проблема только на ключах HASH я так понимаю?!
| | |
| |
| 2.79, Аноним (-), 19:53, 03/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Я все жду когда в PHP появиться поддержка распарсить параметер по требованию.
> Что-то вроде $_POST->getParam. А распарсеные параметры уже закешировать в этих ваших
> HASH и хранить.
Какая хакеру разница, заткнется сервак сам по себе или по твоему требованию :)
| | |
|
|
