The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0"  +/
Сообщение от opennews (??), 04-Апр-24, 14:19 
Раскрыты сведения об методе атаки "Continuation flood", затрагивающем различные реализации протокола HTTP/2, среди которых Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp  и nghttp2. Уязвимость может использоваться для совершения атак на серверы с поддержкой HTTP/2.0 и  в зависимости от реализации приводит к исчерпанию памяти (прекращение обработки запросов или аварийное завершение процессов) или созданию высокой нагрузки на CPU (замедление обработки запросов). По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна, чем найденная в прошлом году уязвимость "Rapid Reset", использованная для совершения крупнейших на то время DDoS-атак...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60924

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  +/
Сообщение от Аноним (1), 04-Апр-24, 14:19 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +7 +/
Сообщение от Аноним (4), 04-Апр-24, 14:30 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +/
Сообщение от Аноним (-), 04-Апр-24, 14:40 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +3 +/
Сообщение от пох. (?), 04-Апр-24, 14:52 
Ответить | Правка | Наверх | Cообщить модератору

2. "Атака Continuation flood, приводящая к проблемам на серверах..."  +9 +/
Сообщение от Аноним (2), 04-Апр-24, 14:25 
Красиво же, ну.
Ответить | Правка | Наверх | Cообщить модератору

49. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (49), 05-Апр-24, 02:21 
Вектор атаки прост как топор. Сейчас в сервисах ограничения на входные данные не проверяют разве что совсем конченые. А с HTTP/2.0 сразу понятно где грабли зарыты и на что нужно обращать внимание в реализациях
Ответить | Правка | Наверх | Cообщить модератору

3. "Атака Continuation flood, приводящая к проблемам на серверах..."  +3 +/
Сообщение от Аноним (3), 04-Апр-24, 14:30 
Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста.
Ответить | Правка | Наверх | Cообщить модератору

8. "Атака Continuation flood, приводящая к проблемам на серверах..."  +3 +/
Сообщение от Аноним (8), 04-Апр-24, 14:54 
У HAProxy своих CVE хватает.
Все равно соглашусь - штука классная.
Ответить | Правка | Наверх | Cообщить модератору

9. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (3), 04-Апр-24, 14:58 
> У HAProxy своих CVE хватает.

Не хватает.
Я бы сказал — их там дефицит.

Ответить | Правка | Наверх | Cообщить модератору

34. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (8), 04-Апр-24, 20:40 
>их там дефицит

Не накаркай

Ответить | Правка | Наверх | Cообщить модератору

40. "Атака Continuation flood, приводящая к проблемам на серверах..."  +4 +/
Сообщение от Аноним (-), 04-Апр-24, 23:11 
> Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста.

На нжинкс тоже походу не сработало. Эти думают бошкой сколько ресурсов на запрос оно сожрет, а не просто копают от забора до обеда как веьманки.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Golangdev (?), 04-Апр-24, 14:51 
> По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна

Ух! Страшна!!!

> Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2

Жаль что Go затронут, но хорошо что с Java всё хорошо )

Ответить | Правка | Наверх | Cообщить модератору

29. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от OpenEcho (?), 04-Апр-24, 18:55 
> Жаль что Go затронут

Го уже зафисиксили в, go1.22.2

Ответить | Правка | Наверх | Cообщить модератору

35. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от javaboy (?), 04-Апр-24, 20:51 
>  oghttp (CVE-2024-27919) - неограниченное потребление памяти.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

64. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Хейтер (?), 05-Апр-24, 11:47 
>хорошо что с Java всё хорошо

- в списке не подверженных (как и подверженных) атаке серверов не заметно Tomcat. Так что не факт что с Java "всё хорошо"

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

67. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Golangdev (?), 05-Апр-24, 12:48 
сами себе противоречите

совет - проверяйте сообщение, прежде чем его отправить

а с джавой действительно всё хорошо %)

Ответить | Правка | Наверх | Cообщить модератору

72. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Хейтер (?), 05-Апр-24, 14:55 
>сами себе противоречите

- способны написать в чём? Лично я противоречий в своем посте не вижу, но если что-то непонятно готов пояснить

>а с джавой действительно всё хорошо %)

- если Вы такой умный, то подскажите дуракам, есть описанная уязвимость в Tomcat или нет? Или Вы только по советам мастер?


Ответить | Правка | Наверх | Cообщить модератору

10. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от 12yoexpert (ok), 04-Апр-24, 15:04 
до сих пор не понимаю, зачем что-то, кроме http1.1

вместо чтоб выпилить гигабайты джаваскрипта и телеметрии - будем двигать кровати и усложнять стандарты

а оправдывать это будем ложью о медленной скорости установки соединения в http 1.1

Ответить | Правка | Наверх | Cообщить модератору

11. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (11), 04-Апр-24, 15:24 
Лучше перфокарт голубями ничего не придумали, http для смузихлебов!
Ответить | Правка | Наверх | Cообщить модератору

41. "Атака Continuation flood, приводящая к проблемам на серверах..."  +2 +/
Сообщение от Аноним (-), 04-Апр-24, 23:12 
> Лучше перфокарт голубями ничего не придумали, http для смузихлебов!

"Не стоит недооценивать бандвиз голубя груженого microSD картами" (современная версия идеи).

Ответить | Правка | Наверх | Cообщить модератору

16. "Атака Continuation flood, приводящая к проблемам на серверах..."  +2 +/
Сообщение от Аноним (16), 04-Апр-24, 15:49 
Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !"
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

42. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 04-Апр-24, 23:14 
> Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !"

А у него фрейминг внезапно почти такой же - и то что там на точно такую же граблю те же самые для симметрии не встали вообще не факт. Зато какому-нибудь nginx и там как обычно все похрен будет.

Ответить | Правка | Наверх | Cообщить модератору

27. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Anonymous_x (?), 04-Апр-24, 17:58 
> зачем что-то, кроме http1.1

Тоже так подумал изначально.
и даже не пытался  на своём локалхосте раскомментировать апачи
```#LoadModule http2_module modules/mod_http2.so```

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

19. "Атака Continuation flood, приводящая к проблемам на серверах..."  –4 +/
Сообщение от Аноним (19), 04-Апр-24, 15:59 
Что характерно, дыры найдены исключительно в крякозябра-языках (C, PHP, JS).
В человеческих языках, таких как Ruby, дыр нет. Поэтому да, читаемость кода многое значит для безопасности.
Ответить | Правка | Наверх | Cообщить модератору

22. "Атака Continuation flood, приводящая к проблемам на серверах..."  –1 +/
Сообщение от Аноним (1), 04-Апр-24, 16:03 
Ты пишешь это на ОС написаной на человеческом языке, а сообщение в Интренет отправил драйвер, написаный на руби?
Ответить | Правка | Наверх | Cообщить модератору

25. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (25), 04-Апр-24, 17:04 
Наверное, из будущего. У них там ядро Linux переписано на Rust.
Ответить | Правка | Наверх | Cообщить модератору

24. "Атака Continuation flood, приводящая к проблемам на серверах..."  +7 +/
Сообщение от анонка (?), 04-Апр-24, 17:04 
я скорее думаю, что про руби все забыли и там просто никто не искал)
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

26. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (26), 04-Апр-24, 17:18 
На Brainf*ck-e тоже не найдено не одной уязвимости. Думаете дело в читаемости кода?
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

28. "Атака Continuation flood, приводящая к проблемам на серверах..."  +2 +/
Сообщение от Аноним (3), 04-Апр-24, 18:49 
> В человеческих языках, таких как Ruby, дыр нет.

Ага. Потому что там HTTP/2 нет https://github.com/puma/puma/issues/454

> Поэтому да, читаемость кода многое значит для безопасности.

Ни один нормальный программист не будет читать код на Ruby. Писать — тем более.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

32. "Атака Continuation flood, приводящая к проблемам на серверах..."  –1 +/
Сообщение от Ivan_83 (ok), 04-Апр-24, 19:50 
Haproxy, nginx - C, но в списке их нет.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

36. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Sw00p aka Jerom (?), 04-Апр-24, 21:37 
тут список есть

https://kb.cert.org/vuls/id/421644

HTTP/2 attacks involving CONTINUATION headers do not impact the resource utilization of F5 products (including BIG-IP products, NGINX and F5 Distributed Cloud).

As with other DoS vectors (HTTP/1.x and HTTP/2), for NGINX F5 recommends tuning the following settings to suit your environment (worker_rlimit_nofile, worker_connections, keepalive_timeout, client_header_timeout). Similarly, F5 recommends configuring appropriate limits and protections for BIG-IP products (e.g., AFM DoS Profiles, ASM DoS Profiles, Virtual Server connection limits and timeouts and, for HTTP/2, the Concurrent Streams Per Connection setting).

Ответить | Правка | Наверх | Cообщить модератору

45. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 04-Апр-24, 23:19 
> Haproxy, nginx - C, но в списке их нет.

Пусть лучше покажет парсер HTTP/2 на рубях, который вообще кому-то и зачем-то будет нужен в таком виде. Писать ЭТО на тормозной скриптоте - бессмысленно и беспощадно. Но голимый пиар же не запретишь :)

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

47. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Ivan_83 (ok), 05-Апр-24, 01:22 
На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать под мизерную нагрузку чем ставить и настраивать что то отдельное.
Ответить | Правка | Наверх | Cообщить модератору

50. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 05-Апр-24, 02:42 
> На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать
> под мизерную нагрузку чем ставить и настраивать что то отдельное.

Но посмотреть как бы он на деле спправился с этой задачей - вместе с фреймингом и HPACK - было бы интересно. А вот после этого можно было бы поговорить сколько там у него ресурсных вулнов якобы не будет. На словах все донкихоты, а реализуй они и правда этот протокол своей рубей - у них оно поди вообще развалится в хлам от первого же тыкания палочкой.

Ответить | Правка | Наверх | Cообщить модератору

51. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Ivan_83 (ok), 05-Апр-24, 03:15 
Лично я не вижу смысла в HTTP/2 вообще, а реализовывать его на высокуровневых языках тоже смысла нет, проще обычный 1.1 разобрать и закрыть проблему с транспортом и перейти к реализации функционала какогото полезного/нового.
Ответить | Правка | Наверх | Cообщить модератору

54. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 05-Апр-24, 05:46 
> Лично я не вижу смысла в HTTP/2 вообще,

Параллельные потоки, меньше RTT ненужных, нет Head Of Line Blocking. Поэтому вы там не видеть можете все что хотите, а весь топовый крупняк который интересовал User Experience - давно на него перешли.

И на минуточку в этом вашем HTTP/1.1 вулнов еще и поболее было - например на разной трактовке разным софтом переводов строк и прочей характерной прелести которой сабж не снабжен. И ресурсных атак на него - немеряно во всех ипостасях.

> а реализовывать его на высокуровневых языках тоже смысла нет, проще обычный 1.
>1 разобрать и закрыть проблему с транспортом и перейти к реализации функционала
> какогото полезного/нового.

Просто гражданин утверждал что у него вот именно это вышло бы - ЗБС. Как показывает практика на таких выразительных ЯП чаще всего, пардон, наколенное г-но не подлежащее майнтенансу почему-то. Так что без иллюстрации делом это ни о чем. А конкретно ruby вообще уже сдох наполовину по сути.

Ответить | Правка | Наверх | Cообщить модератору

58. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от scriptkiddis (?), 05-Апр-24, 07:44 
User Experience этот твой, никого не интересует.
Ответить | Правка | Наверх | Cообщить модератору

61. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 05-Апр-24, 09:16 
> User Experience этот твой, никого не интересует.

Угу, пока не начинается отток юзерей и не возникает вопрос ребром "а из чего мы вам, д@лб@бам будем зарплату платить?!". И дальше вариантов немного. Либо все приходит а более-менее устраивающее юзерей состояние так что они юзают сервис, либо если не прокатило - чудо тима отправляется на мороз, элонмаск стайл.

Не, акционеры не спонсируют лохов и лузеров вечно из своих. Извините. Они не для этого свои бабки вкладывали.

Ответить | Правка | Наверх | Cообщить модератору

65. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Ivan_83 (ok), 05-Апр-24, 12:13 
RTT вещь фундаментальная и зависит от скорости света в конкретных средах + времени обработки в куче железок по пути а не от протокола.

Head Of Line Blocking - тоже нет, просто вместо одного соединения их обычно штук до 10 приходит от одного клиента на один сервер и это нормально.

"весь топовый крупняк который интересовал User Experience" - и если посмотреть то там один только гуголь, которому это всё было надо ровно для того чтобы он мог списывать рекламные бюджеты сказав: "вот смотрите, я юзеру запушил ваш баннер", притом юзер мог его не запрашивать и не получить, не говоря уже об просмотре.
Может вы когданибудь и узнаете сколько миллиардов это принесло гуглу на ровном месте совершенно легально.


"HTTP/1.1 вулнов еще и поболее было" - это только вас заботит.
Мне же достаточно того что оно работает, что накидать свой клиент можно хоть на shell script, ровно как и сервер, и что отлаживать это легче лёгкого ибо текст разбирать можно глазками в отличии от бинарных данных.

"например на разной трактовке разным софтом переводов строк" - это было очень очень давно, наверное до вашего рождения :)

"ресурсных атак на него - немеряно во всех ипостасях" - и? оно давно изучено и порезано лимитами.


Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

68. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (68), 05-Апр-24, 13:06 
> RTT вещь фундаментальная и зависит от скорости света в конкретных средах +
> времени обработки в куче железок по пути а не от протокола.

Зато протокол может поубавить их число и влияние на перфоманс.

> Head Of Line Blocking - тоже нет, просто вместо одного соединения их
> обычно штук до 10 приходит от одного клиента на один сервер и это нормально.

Это жрет больше системных ресурсов и генерит больше пакетов, и в целом таки работает хуже.

> "весь топовый крупняк который интересовал User Experience" - и если посмотреть
> то там один только гуголь,

Cold blooded fact: h2 в мониторе сети моего браузера (я иногда еще и дебажу запросы!) светится в практически ВСЕМ, ну вот кроме опеннета. Что хочешь то и делай. Ну пусть t.me - морда телеги. H2 во все поля. И так куда ни ткни.

> которому это всё было надо ровно для того чтобы он мог списывать рекламные бюджеты

Ему кое-что другое надо было - user experience в их сервисах. Чтобы остальных задвинуть чисто технологически.

> это принесло гуглу на ровном месте совершенно легально.

Если кто не в курсе, пуш дропнули как фичу стандарта.

> "HTTP/1.1 вулнов еще и поболее было" - это только вас заботит.

Я не намерен разводить двойные стандарты в оценке технологий.

> Мне же достаточно того что оно работает, что накидать свой клиент можно
> хоть на shell script, ровно как и сервер, и что отлаживать

Можно. Но лучше не нужно. Ибо 99.9% что там будут жесткие вулны пачками. Поэтому ценность этой наколени равна нулю. А файло разово перекинуть можно и неткатом/ssh или даже просто bash (/dev/tcp) или что там у кого. Выписывать для этого недореализацию HTTP и избыточно и ни к чему хорошему не ведет.

> это легче лёгкого ибо текст разбирать можно глазками в отличии от
> бинарных данных.

Угу. Пока хаксор не пришлет ../../../../etc/password твоему серваку :). В этом месте Джо начнет догадываться что писать НОРМАЛЬНЫЙ сервер нифига не просто и не легко. И такого счастья там более 9000 наименований. Половина из коего в H1 как раз из-за работы с строками и того что ваше понимание этого вопроса совсем не факт что совпало с идеями клиента, вон того прокси/бэка и ушлого хаксора. Откуда и CVE пачками, собссно.

> "например на разной трактовке разным софтом переводов строк" - это было очень
> очень давно, наверное до вашего рождения :)

Да вообще-то такой десинк фронта и бэка ("Request Smuggling") ведущий к тому что запрос от левого атакуюшего подошьется к легитимному юзерскому - не очень древнее направление. И вон то один из топиков. В H1 вообще есть мест которые они могут понять по разному.

> "ресурсных атак на него - немеряно во всех ипостасях" - и? оно
> давно изучено и порезано лимитами.

И там списочек так то - весьма длинный. Ну и тут вот - изучают, вот. Сам H2 так то не сказать что вот прям сложный. Разве что HPACK - но он имеет свои причины, глупо постоянно передавать одно и то же. А на миллионах запросов это превращается в дофига трафа.

Ответить | Правка | Наверх | Cообщить модератору

70. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Ivan_83 (ok), 05-Апр-24, 13:38 
> Зато протокол может поубавить их число и влияние на перфоманс.

Вы отстали, там уже всё лишнее давно срезали.


> Это жрет больше системных ресурсов и генерит больше пакетов, и в целом таки работает хуже.

Жрёт больше, работает лучше.
У вас помимо боязни багов ещё фобия до использования системных ресурсов :)


> Cold blooded fact: h2 в мониторе сети моего браузера

То что кто то включил на сервере http/2 не означает что это было решение принятое на основании каких либо изысканий, считай обдуманное и обоснованное.


> Ему кое-что другое надо было - user experience в их сервисах. Чтобы остальных задвинуть чисто технологически.

Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс, там его два процента приросло и то если правильно считать. Они посчитали деньги и не смогли отказатся.
Так же как до того они возможно увидели тенденцию что рекламу вырезать на обычном http проекси очень легко и начали всех натягивать на TLS.


> Можно. Но лучше не нужно. Ибо 99.9% что там будут жесткие вулны пачками. Поэтому ценность этой наколени равна нулю.

Чувак, мне надо чтобы оно работало, а не чтобы оно было мифически безопасным.
Тема с shell script http клиентом она тоже не с потолка в моей голове взялась, это костыль который мне нужен был в одном из сценариев того что я изредка делаю.
Настолько редко и в таких условиях что при всём желании эксплуатация мифических уязвимостей имеет огромную отрицательную стоимость.
(это нужно было одно время когда я рутовал андройды чтобы скачать пару файлов, включая opkg, который дальше уже сам качал).


> Пока хаксор не пришлет ../../../../etc/password твоему серваку :)

И!?
Я не буду вырезать это, я просто сделаю:
www_root = open("/usr/local/www")
user_file = openat(www_root, requested_url);


> Откуда и CVE пачками, собссно.

Просто у вас психическое расстройство, я не шучу.
Плевать на CVE, единственное что имеет смысл это положительное соотношение: профита/негатива.
Как в денежном так и на уровне восприятия. Но в отсновном в деньгах считают.
Вот вы сидите и боитесь CVE и ошибок, а я сижу и пишу код чтобы он решил мои насущные проблемы, и мне без разницы какие там будут ошибки - потому что ошибки я исправлю когда они найдутся, главное чтобы оно делало то что мне надо.


> ("Request Smuggling") ведущий к тому что запрос от левого атакуюшего подошьется к легитимному юзерскому - не очень древнее направление. И вон то один из топиков. В H1 вообще есть мест которые они могут понять по разному.

Вы бы читали и понимали прочитанное для начала.
Это про различные интерпретации заголовков и их последовательностей.
В частности там была особенность что одни реализации воспринимают первый попавшийся заголовок а другие последний (повторяющийся заголовок), и потому идёт различная интерпретация.
А переводы строк - это древняя древнота, по стандарту CRLF, на остальное можно забить, при этом для парсера при встрече с запросом в котором только LF он будет не валидным.


> Разве что HPACK - но он имеет свои причины, глупо постоянно передавать одно и то же. А на миллионах запросов это превращается в дофига трафа.

На фоне той же бесполезной рекламы, отвратительных трекеров, корявых жабаскриптах и прочем мусоре который генерит современная веб индустри эти заголовки даже не 0,0001% трафика.
Вы опять решаете проблемы которой нет.

Ответить | Правка | Наверх | Cообщить модератору

77. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 06-Апр-24, 09:03 
> Вы отстали, там уже всё лишнее давно срезали.

По моему отстал не я. H2 технически более совершенная штука.

> Жрёт больше, работает лучше.

Поэтому верхушка top busiest на h2? ;)

> У вас помимо боязни багов ещё фобия до использования системных ресурсов :)

Двойные стандарты не рулят. Я применю к вам ваши же заявочки в адрес вон тех и посмотрю как вы под этим углом. Так честнее.

> То что кто то включил на сервере http/2 не означает что это было решение принятое
> на основании каких либо изысканий, считай обдуманное и обоснованное.

Крупняк который это ВЕСЬ сделал - умеет такое ;)

> Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс,

Чем лучше UX тем чаще и охотнее юзают сервис. Иногда запрос не оч важен, юзер колеблется между забить или спросить. Чем тормознее, тем больше выберут "забить".

> Так же как до того они возможно увидели тенденцию что рекламу вырезать
> на обычном http проекси очень легко и начали всех натягивать на TLS.

Легче - в браузерной спамодавке, даже врезаные в пагу блоки скрыть может. А в прокси это как?

> Чувак, мне надо чтобы оно работало, а не чтобы оно было мифически безопасным.

Чувак, двойные стандарты и скидки себе - не рулят.

> из сценариев того что я изредка делаю.

Даю 99.5% что это синдром утенка и/или NIH.

> уязвимостей имеет огромную отрицательную стоимость.

Не хуже чем ваши конструкции на шелле.

> (это нужно было одно время когда я рутовал андройды чтобы скачать пару
> файлов, включая opkg, который дальше уже сам качал).

А там нет ни wget ни нетката? В любом случае нишевая задача решаемая более 9000 способов.

>> Пока хаксор не пришлет ../../../../etc/password твоему серваку :)
> И!?

Ы. Почему я должен с вон тех спросить а с вашей наколени - нет? Вы типа особенный?

> Я не буду вырезать это, я просто сделаю:

И все равно будет более 9000 способов залететь. Я видел как это работает, можете не пытаться мне рассказывать.

> Просто у вас психическое расстройство, я не шучу.

Просто я немного интересовался топиком. И видел как выглядит девелоп вебсерваков с ноля. Даже для HTTP 1.x. А хамить в таком стиле когда весь мир юзает H2 - удачи, посмотрим у кого расстройство.

> Плевать на CVE, единственное что имеет смысл это положительное
> соотношение: профита/негатива.

Удачи вам в ваших начинаниях, сэр. И уж не обижайтесь когда ваши наколенные поделки на шелле никому не вопрутся даже бесплатно. Да, я тоже могу невкусно отлупить.

> Как в денежном так и на уровне восприятия. Но в отсновном в деньгах считают.

Оок! А если ваши стандарты применять - к вам? Ваше поделие на баше стоит ровно $0.00 для внешнего мира, а время потрачено. EPIC FAIL. Как вам такая идея? :)

> разницы какие там будут ошибки - потому что ошибки я исправлю
> когда они найдутся, главное чтобы оно делало то что мне надо.

Для внешнего мира ценность хни на шелскрипте как HTTP сервера - имхо 0.

> Вы бы читали и понимали прочитанное для начала.

Вы бы научились еще думать головой и не хамить, вообще было бы замечательно.

> Это про различные интерпретации заголовков и их последовательностей.

Да, и одна из ипостасей это например разная реакция на допустим CR, LF, CR+LF. Спеки все читали по диагонали и воон там красиво на этом налетали. С прикольными CVE. Вот прям на этом.

> а другие последний (повторяющийся заголовок), и потому идёт различная интерпретация.

А еще бывает так что они там по разному реагируют на заголовки с "аномалиями" и отклонениями от стандарта, фронт и бэк десинкаются и в лучшем случае подарок от атакующего прицепится к чужому запросу (например вон того админа, сделав что-то от его лица).

> А переводы строк - это древняя древнота, по стандарту CRLF, на остальное можно забить,

Ага, только "можно забить" у разных фронтов/бэков бывает сделано по разному, и тогда... :))). А заодно есть и вариант когда H2 фронт и H1 бэк это дело могут по разному понять, в эту игру можно играть и вдвоем.

> На фоне той же бесполезной рекламы, отвратительных трекеров, корявых жабаскриптах и
> прочем мусоре который генерит современная веб индустри эти заголовки даже не 0,0001%

Ога, ога, у гитхапы всего 66 яваскриптов заинклюжено... врядли это вон та величина будет. Ща в моде мелко и модулярно нарезать. Когда протокол диктует логику и структуру контента это булшит, господа.

> трафика. Вы опять решаете проблемы которой нет.

Да вас послушать - можно было на деревянной телеге с клячей рассекать. И чего Форду спокойно не сиделось?! Нет бы более быстрых лошадей выводил...

Ответить | Правка | Наверх | Cообщить модератору

79. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Ivan_83 (ok), 06-Апр-24, 21:53 
> По моему отстал не я. H2 технически более совершенная штука.

Это ничего не значит.


> Крупняк который это ВЕСЬ сделал - умеет такое ;)

Миллионы мух не могут ошибатся.


> Чем лучше UX тем чаще и охотнее юзают сервис.

Где UX и где задержка в 5 мс?


> А в прокси это как?

Proximitron и тому подобные штуки.
Они тоже умели резать регэкспами на лету страницы, и его достаточно было одного на всю домашнюю сеть.


> Даю 99.5% что это синдром утенка и/или NIH.

Утёнок тут даже близко не стоял, не уверен что вы понимаете суть этого явления.
NIH - нет.
Это кастомизация под себя, а не переизобретение существующего.


> Не хуже чем ваши конструкции на шелле.

Конструкции на шеллскрипте работают и делают что надо, а у вас хоть что то хэнд мейд есть или страшно?


> А там нет ни wget ни нетката?

Не всегда оно оно есть :(


> Почему я должен с вон тех спросить а с вашей наколени - нет? Вы типа особенный?

Да, я очень особенный.
И я вам показал волшебный openat().


> И все равно будет более 9000 способов залететь. Я видел как это работает, можете не пытаться мне рассказывать.

Чувак, я тебе сказал: МНЕ ПОФИГ.
До тебя просто не доходит никак в этой жизни: совершать ошибки - это нормально, это то как работает мир.
Будет ошибка - поправлю или обойду или забью, в зависимости от того насколько оно актуально.
Твоя проблема в том, что ты пытаешься все риски свести в нуль, так не бывает.
У тех у кого нет рисков в жизни - они живут очень плохо.
Пока ты будешь писать самую безопасную в мире прогу, другой чел напишет MVP с 100500 дыр, релизнется, наберёт 100500 аудитории, 1000050000 бабла, его 50 раз взломают, он раз 20 извинится попивая тэкилу на гаваях и продолжит собирать бабло, а ты так и будешь писать никому ненужное супернадёжное ПО.
В реальной жизни за пределами софта всё ещё интереснее, и даже не представляешь сколько там такого что сделано на "отвали" от чего зависит твоя жизнь каждый день.


> Просто я немного интересовался топиком. И видел как выглядит девелоп вебсерваков с ноля. Даже для HTTP 1.x. А хамить в таком стиле когда весь мир юзает H2 - удачи, посмотрим у кого расстройство.

А мне плевать, и на h2 и на nginx и на всех остальных. (хотя nginx я люблю, но после заглядывания внутрь немного меньше)
Прикинь, да?
Потому что критерий всего это нужность(востребованность), работоспособность, и где то в конце списка идёт твоя безопасность и всякие там прочие ненужности.
У меня самописный http/1.1 сервак на сях, он обслуживает десятки тыщ юзеров ежесуточно.
И работает оно уже более 10 лет.
Вот пока ты дрюкаешься на безопасность и прочее я взял и накодил то чем пользуются.
https://github.com/rozhuk-im/liblcb/blob/master/src/proto/ht...
https://github.com/rozhuk-im/liblcb/blob/master/src/proto/ht...
это всё в составе msd/msd_lite юзается, и в том числе торчит местами в инет.


> И уж не обижайтесь когда ваши наколенные поделки на шелле никому не вопрутся даже бесплатно. Да, я тоже могу невкусно отлупить.

Наколенная поделка на шелле - это пример внутренней автоматизации, где на безопасность положено с прибором настолько что дальше некуда.


> Да, и одна из ипостасей это например разная реакция на допустим CR, LF, CR+LF.

Написал же: всё что не CRLF - дропаем как инвалидное.


>  и в лучшем случае подарок от атакующего прицепится к чужому запросу (например вон того админа, сделав что-то от его лица).

Да и пофиг, пофиксят и откатят.


> Ща в моде мелко и модулярно нарезать. Когда протокол диктует логику и структуру контента это булшит, господа.

Вы тут сами себе что то придумали.
Я вам ещё раз повторю: плевать на оверхэд от заголовков в http/1.1, по сравнению с тем мусором что летает в сети в виде баннеров, рекламы, трекеров и прочего это просто ниачом.


> Да вас послушать - можно было на деревянной телеге с клячей рассекать.

Если вы считаете что в инете всё ок то либо вы не видели или не осознали сколько ненужного вам прилетает либо считаете что так и должно быть, и тогда мне остаётся только зафиксировать на этом своё с вами категорическое не согласие.

Ответить | Правка | Наверх | Cообщить модератору

74. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (74), 05-Апр-24, 19:34 
> Пусть лучше покажет парсер HTTP/2 на рубях

Вас в гугле забанили что ли?

https://github.com/igrigorik/http-2

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

38. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Минона (ok), 04-Апр-24, 22:37 
Дело не в языке, а в реализациях протокола.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

39. "Атака Continuation flood, приводящая к проблемам на серверах..."  +2 +/
Сообщение от голос из леса (?), 04-Апр-24, 23:10 
>> Дело не в языке, а в реализациях протокола.

Дело не в языке, а в спецификации протокола, при реализациях которой приходится делать не описанные в протоколе ограничения.

Ответить | Правка | Наверх | Cообщить модератору

46. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 04-Апр-24, 23:22 
> Дело не в языке, а в спецификации протокола, при реализациях которой
> приходится делать не описанные в протоколе ограничения.

Извини, весь common sense в спецификации не вколотишь. А сколько ты там ресурсов в сервер вбухать готов - кто ж знает? Вдруг у тебя там петабайт оперативы? Тогда атакующий трафик заманается наливать и это вообще не атака.

Ответить | Правка | Наверх | Cообщить модератору

44. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 04-Апр-24, 23:18 
> В человеческих языках, таких как Ruby, дыр нет. Поэтому да, читаемость кода
> многое значит для безопасности.

А много на ruby реализаций HTTP/2 с разбором фреймов его потока то? Или там перфоманс операции такой что это никому нахрен не уперлось в таком виде - так что не ошибается тот кто ничего не делает?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

75. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (74), 05-Апр-24, 19:43 
По крайней мере одна реализация существует. Но вообще-то это типичная задача для реализации на С и прикручивания биндингов для более высокоуровневых разных языков. Чтобы и реализация была быстрой, и разработка.
Ответить | Правка | Наверх | Cообщить модератору

78. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (78), 06-Апр-24, 13:56 
На рубях написан хттп сервер? Сколько там запросов в секунду? 5-10?
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

23. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (23), 04-Апр-24, 16:54 
атаку пишет проффесионал. Искать надо оттуда.
Ответить | Правка | Наверх | Cообщить модератору

30. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (30), 04-Апр-24, 19:24 
Дайте эксплойт
Ответить | Правка | Наверх | Cообщить модератору

31. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (31), 04-Апр-24, 19:25 
Это какой-то позор..
Ответить | Правка | Наверх | Cообщить модератору

33. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (33), 04-Апр-24, 20:00 
Вангую фиксинг дропом поддержки http/2.
Ответить | Правка | Наверх | Cообщить модератору

48. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 05-Апр-24, 01:23 
> Вангую фиксинг дропом поддержки http/2.

В пользу HTTP/3 - который суть то же самое, но поверх UDP.

Ответить | Правка | Наверх | Cообщить модератору

57. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (57), 05-Апр-24, 07:40 
HTTP/3 даже не поддерживает HTTP! Вот умора! Только шифрование HTTPS под сертификатами (((авторитетов))) прибитое гвоздями и болшьеш никак! Цифровой гуглаг чистой воды.
Ответить | Правка | Наверх | Cообщить модератору

52. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (52), 05-Апр-24, 04:49 
NIST awards $3.6 million to address the cybersecurity workforce gap

The grants of roughly $200,000 each will go to 18 education and community organizations in 15 states that are working to address the nation’s shortage of skilled cybersecurity employees.

Источник: https://www.helpnetsecurity.com/2024/04/04/nist-cooperative-.../

Может специалисты ИБ помогут. А в целом, похоже на то что готовиться HTTP3 к массовому выходу и это похоже на рекламу.

Ответить | Правка | Наверх | Cообщить модератору

53. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (52), 05-Апр-24, 04:58 
Сидеть на гугле будут все! Хотя казалось бы - чего так сложно то разработать свои технологии? Всё начинается с умных людей (философов), которые порождают умную идеологию своего мира. Потом уже другие умные люди согласно этой технологии порождают технологии, предоставляя возможности. И уже потом другие умные люди этими технологиями пользуются - лечат других людей, общаются, обучают, защищают, выращивают, торгуют.
И вот тут я задаюсь вопросом - где в этом всем веб с его HTTP2.0, которым заправлять будет одна американская компания? Мне кажется что современные инструменты открытого кода какие-то неправильные.
Ответить | Правка | Наверх | Cообщить модератору

55. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (55), 05-Апр-24, 07:05 
Капитализм. При коммунистах такого не было.
Ответить | Правка | Наверх | Cообщить модератору

56. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (-), 05-Апр-24, 07:31 
> Капитализм. При коммунистах такого не было.

Логично! Нет интернета - нет вулнов в его протоколах. При коммунистах - в СССР гражданам было строго запрещено юзать модемы.

Ответить | Правка | Наверх | Cообщить модератору

59. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (55), 05-Апр-24, 08:02 
А зачем им арпанет, американская военная сеть? Были свои процессоры, компьютеры, протоколы и сети.
Ответить | Правка | Наверх | Cообщить модератору

60. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от 1 (??), 05-Апр-24, 09:13 
Пруфы будут ?
При СССР вполне себе продавался модем Менатеп (sic!), 2400, Манчестерский код. Вязался только промеж собой. Можно было от телефониста получить люлей, так как забивал не только свою, но и соседние линии.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

63. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Аноним (68), 05-Апр-24, 10:35 
> Пруфы будут ? При СССР вполне себе продавался модем Менатеп (sic!), 2400,
> Манчестерский код. Вязался только промеж собой. Можно было от телефониста получить
> люлей, так как забивал не только свою, но и соседние линии.

Насколько я помню подключать модемы как впрочем и аоны было запрещено правилами как минимум телефонных узлов. Так что в эпоху BBS'ов все сыковались - но все же юзали.

И по моему про это все всякие радио и проч - писали. Что мол так-сяк но использование модемов по телефонным сетям - официально запрещено. И как я поенимаю энное время это была некоторая полунелегальщина.

Кстати если что, подключать абы что к телефонным сетям запрещал и - внезапно - амеровский AT&T, из за чего первые модемы были довольно извратными конструкциями где трубка телефона кладется на специфичный девайс с динамиком и микрофоном.

Ответить | Правка | Наверх | Cообщить модератору

66. "Атака Continuation flood, приводящая к проблемам на серверах..."  +2 +/
Сообщение от Ivan_83 (ok), 05-Апр-24, 12:27 
При совке АОН только появился, как фича для самих телефонистов.
Бывало возьмёшь трубку чтобы ответить на звонок а там мелодичный звук с пол секунды - это АТС слало номер.
И первые АОН просто декодировали этот звук.
Уже после развала совка телефонисты начали мутить и хотеть срубить бабла, и сигнал АОН в начале перестали отправлять всем подряд и слали только по запросу, и у многих АОН пришлось менять на такой который умел слать запросы.
Ещё лет через 5 у них появилась возможность это как то привязать к биллингу и они захотели рубить за фичу денег, это уже ближе к 2к году было.

А уж что подключено у абонента дома - так тут хер докажешь, если только он телефонную линию в 220 не воткнул, ибо домой телефониста никто не пустит, а даже с участковым есть куча времени чтобы выдернуть всё ненужное из телефонной линии.

Что касается модемов - то пока время не тарифицировалось у телефонистов пригорало, ибо падал коэфициент мультиплексирование, деградировала услуга и они получали люлей.
А их АТС в те времена могло одновременно коммутировать ограниченное число линий.
Но сделать они с этим ничего не могли: потому что слушать абонента запрещено, а если ты не слушаешь что там внутри то и доказательств что он там по часу не болтает а модемится у тебя нет.
В общем они это победили опять же глубоко после 2к года введя повременную оплату, примерно с этим пришли всякие домонеты и DSL.

Про засирание модемом соседних линий - брехня.
Такое могло происходить только в случае если как обычно затопило линии и они коротят между собой.


В общем не сочиняйте того чего не знаете.

Ответить | Правка | Наверх | Cообщить модератору

69. "Атака Continuation flood, приводящая к проблемам на серверах..."  +1 +/
Сообщение от Аноним (68), 05-Апр-24, 13:22 
> При совке АОН только появился, как фича для самих телефонистов.

Он вообще вроде как фича СОРМ изначально задуман был. Но фичу прочухали и стали юзать.

> Бывало возьмёшь трубку чтобы ответить на звонок а там мелодичный звук с
> пол секунды - это АТС слало номер.

Нормально для этого надо было бибикать 500, чтоли, Гц. Но иногда таки и без этого вылетало.

> И первые АОН просто декодировали этот звук.

Он без явного запроса в виде бибикания сразу после съема трубки - был лишь очень изредка, как результат каких-то глюков.

> начале перестали отправлять всем подряд и слали только по запросу,

Он всем подряд никогда и не отправлялся. Ну вот не было пиликания вызывающего вопросы при каждом входящем звонке. Просто были какие-то глюки когда в каких-то случаях номер сыпался и без запроса. А так все аоноклепатели в курсе были что надо запрос слать. И кусок этого бибика был отлично слышен исходящей стороне. Как и изменение гудка потом, когда АОН косит под гудки сам.

> даже с участковым есть куча времени чтобы выдернуть всё ненужное из телефонной линии.

Ну поэтому реально никому за модемы и аоны вроде ничего особо не было.

> Что касается модемов - то пока время не тарифицировалось у телефонистов пригорало,
> ибо падал коэфициент мультиплексирование, деградировала услуга и они получали люлей.

Это все же редкость была. BBS - парились шарингом времени на всех, скидывая через полчаса-час чтобы и другиие тоже могли поюзать. Ряд даже морочались с АОНом для этого.

> А их АТС в те времена могло одновременно коммутировать ограниченное число линий.

Многие BBS работали только вечером, ибо днем телефонные линии были нужны как - телефон. А ночью они всем похрен в целом.

> оплату, примерно с этим пришли всякие домонеты и DSL.

Ну и победили они в результате... PSTN, с чем их и поздравляю :)))

> Про засирание модемом соседних линий - брехня.

Вот кстати линии мокли хорошо, чужой спич после дождя BPS рушил порядком.

Ответить | Правка | Наверх | Cообщить модератору

76. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Имя (?), 05-Апр-24, 22:32 
>Он вообще вроде как фича СОРМ изначально задуман был. Но фичу прочухали и стали юзать.

Он был задуман для биллинга выхода на автоматический межгород ("8") на координатных и прочих старых АТС.

Ответить | Правка | Наверх | Cообщить модератору

71. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от Kuromi (ok), 05-Апр-24, 13:49 
Помню как в 2000-е телефонисты в СМИ возмущались тому что проклятые dial-up-ы делают на их телефонных линиях бабло, а им только нагрузка на сеть достается.
А еще байки о том как в Москве в 90-ые и начале нулевых по ночам шли обзвоны в поисках модемов которые трубку поднимут. Искали "нелегальные узлы связи",а так же фидонетчиков всяких.

Впрочем, говорят в 90ые после распада СССР принтеры полагалось в милиции регистрировать поначалу, а то вдруг самиздат начнется...

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

62. "Атака Continuation flood, приводящая к проблемам на серверах..."  +/
Сообщение от YetAnotherOnanym (ok), 05-Апр-24, 09:29 
> приводит к передаче на сервер большого числа заголовков, которые сервер сохраняет в оперативной памяти до тех пор, пока доступная процессу память не будет исчерпана
> Для HTTP/2 в силу усложнения протокола многие реализации не предусмотрели подобные методы защиты от бесконечной отправки заголовков

Ыыы... какая прелесть!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру