Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0"	+/–
Сообщение от opennews (??), 04-Апр-24, 14:19
Раскрыты сведения об методе атаки "Continuation flood", затрагивающем различные реализации протокола HTTP/2, среди которых Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp  и nghttp2. Уязвимость может использоваться для совершения атак на серверы с поддержкой HTTP/2.0 и  в зависимости от реализации приводит к исчерпанию памяти (прекращение обработки запросов или аварийное завершение процессов) или созданию высокой нагрузки на CPU (замедление обработки запросов). По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна, чем найденная в прошлом году уязвимость "Rapid Reset", использованная для совершения крупнейших на то время DDoS-атак... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60924
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Апр-24, 14:19    Скрыто ботом-модератором	+/–
В новости забыли написать, что реализация на раст тоже подвержена атаке.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

2. Сообщение от Аноним (2), 04-Апр-24, 14:25	+9 +/–
Красиво же, ну.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

3. Сообщение от Аноним (3), 04-Апр-24, 14:30	+3 +/–
Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #40

4. Сообщение от Аноним (4), 04-Апр-24, 14:30	+7 +/–
реализация на раст НЕ подвержена атаке, потому что реализации нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

5. Сообщение от Аноним (-), 04-Апр-24, 14:40	+/–
Тише ты! А то перепишут на Раст. Т-сс тихо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

6. Сообщение от Golangdev (?), 04-Апр-24, 14:51	+/–
> По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна Ух! Страшна!!! > Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2 Жаль что Go затронут, но хорошо что с Java всё хорошо )
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #35, #64

7. Сообщение от пох. (?), 04-Апр-24, 14:52	+3 +/–
> Тише ты! А то перепишут на Раст. Т-сс тихо. И что такого? Кому какой вред от очередного CoC.md ? И даже может быть еще и от readme.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Аноним (8), 04-Апр-24, 14:54	+3 +/–
У HAProxy своих CVE хватает. Все равно соглашусь - штука классная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

9. Сообщение от Аноним (3), 04-Апр-24, 14:58	+/–
> У HAProxy своих CVE хватает. Не хватает. Я бы сказал — их там дефицит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #34

10. Сообщение от 12yoexpert (ok), 04-Апр-24, 15:04	+/–
до сих пор не понимаю, зачем что-то, кроме http1.1 вместо чтоб выпилить гигабайты джаваскрипта и телеметрии - будем двигать кровати и усложнять стандарты а оправдывать это будем ложью о медленной скорости установки соединения в http 1.1
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #16, #27

11. Сообщение от Аноним (11), 04-Апр-24, 15:24	+1 +/–
Лучше перфокарт голубями ничего не придумали, http для смузихлебов!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #41

16. Сообщение от Аноним (16), 04-Апр-24, 15:49	+2 +/–
Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #42

19. Сообщение от Аноним (19), 04-Апр-24, 15:59	–4 +/–
Что характерно, дыры найдены исключительно в крякозябра-языках (C, PHP, JS). В человеческих языках, таких как Ruby, дыр нет. Поэтому да, читаемость кода многое значит для безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #24, #26, #28, #32, #38, #44, #78

22. Сообщение от Аноним (1), 04-Апр-24, 16:03	–1 +/–
Ты пишешь это на ОС написаной на человеческом языке, а сообщение в Интренет отправил драйвер, написаный на руби?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

23. Сообщение от Аноним (23), 04-Апр-24, 16:54	+/–
атаку пишет проффесионал. Искать надо оттуда.
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от анонка (?), 04-Апр-24, 17:04	+7 +/–
я скорее думаю, что про руби все забыли и там просто никто не искал)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

25. Сообщение от Аноним (25), 04-Апр-24, 17:04	+1 +/–
Наверное, из будущего. У них там ядро Linux переписано на Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

26. Сообщение от Аноним (26), 04-Апр-24, 17:18	+/–
На Brainf*ck-e тоже не найдено не одной уязвимости. Думаете дело в читаемости кода?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

27. Сообщение от Anonymous_x (?), 04-Апр-24, 17:58	+/–
> зачем что-то, кроме http1.1 Тоже так подумал изначально. и даже не пытался  на своём локалхосте раскомментировать апачи ```#LoadModule http2_module modules/mod_http2.so```
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

28. Сообщение от Аноним (3), 04-Апр-24, 18:49	+2 +/–
> В человеческих языках, таких как Ruby, дыр нет. Ага. Потому что там HTTP/2 нет https://github.com/puma/puma/issues/454 > Поэтому да, читаемость кода многое значит для безопасности. Ни один нормальный программист не будет читать код на Ruby. Писать — тем более.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

29. Сообщение от OpenEcho (?), 04-Апр-24, 18:55	+/–
> Жаль что Go затронут Го уже зафисиксили в, go1.22.2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

30. Сообщение от Аноним (30), 04-Апр-24, 19:24	+/–
Дайте эксплойт
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Аноним (31), 04-Апр-24, 19:25	+1 +/–
Это какой-то позор..
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Ivan_83 (ok), 04-Апр-24, 19:50	–1 +/–
Haproxy, nginx - C, но в списке их нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #36, #45

33. Сообщение от Аноним (33), 04-Апр-24, 20:00	+1 +/–
Вангую фиксинг дропом поддержки http/2.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

34. Сообщение от Аноним (8), 04-Апр-24, 20:40	+1 +/–
>их там дефицит Не накаркай
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

35. Сообщение от javaboy (?), 04-Апр-24, 20:51	+1 +/–
>  oghttp (CVE-2024-27919) - неограниченное потребление памяти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

36. Сообщение от Sw00p aka Jerom (?), 04-Апр-24, 21:37	+/–
тут список есть https://kb.cert.org/vuls/id/421644 HTTP/2 attacks involving CONTINUATION headers do not impact the resource utilization of F5 products (including BIG-IP products, NGINX and F5 Distributed Cloud). As with other DoS vectors (HTTP/1.x and HTTP/2), for NGINX F5 recommends tuning the following settings to suit your environment (worker_rlimit_nofile, worker_connections, keepalive_timeout, client_header_timeout). Similarly, F5 recommends configuring appropriate limits and protections for BIG-IP products (e.g., AFM DoS Profiles, ASM DoS Profiles, Virtual Server connection limits and timeouts and, for HTTP/2, the Concurrent Streams Per Connection setting).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

38. Сообщение от Минона (ok), 04-Апр-24, 22:37	+/–
Дело не в языке, а в реализациях протокола.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #39

39. Сообщение от голос из леса (?), 04-Апр-24, 23:10	+2 +/–
>> Дело не в языке, а в реализациях протокола. Дело не в языке, а в спецификации протокола, при реализациях которой приходится делать не описанные в протоколе ограничения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #46

40. Сообщение от Аноним (-), 04-Апр-24, 23:11	+4 +/–
> Как и в прошлый раз, пользователи HAProxy могут не подрываться. У них код свой, а не копипаста. На нжинкс тоже походу не сработало. Эти думают бошкой сколько ресурсов на запрос оно сожрет, а не просто копают от забора до обеда как веьманки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

41. Сообщение от Аноним (-), 04-Апр-24, 23:12	+2 +/–
> Лучше перфокарт голубями ничего не придумали, http для смузихлебов! "Не стоит недооценивать бандвиз голубя груженого microSD картами" (современная версия идеи).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

42. Сообщение от Аноним (-), 04-Апр-24, 23:14	+/–
> Просто забыли последнюю фразу скопипастить : "Все бегом на HTTP/3 !" А у него фрейминг внезапно почти такой же - и то что там на точно такую же граблю те же самые для симметрии не встали вообще не факт. Зато какому-нибудь nginx и там как обычно все похрен будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

44. Сообщение от Аноним (-), 04-Апр-24, 23:18	+/–
> В человеческих языках, таких как Ruby, дыр нет. Поэтому да, читаемость кода > многое значит для безопасности. А много на ruby реализаций HTTP/2 с разбором фреймов его потока то? Или там перфоманс операции такой что это никому нахрен не уперлось в таком виде - так что не ошибается тот кто ничего не делает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #75

45. Сообщение от Аноним (-), 04-Апр-24, 23:19	+/–
> Haproxy, nginx - C, но в списке их нет. Пусть лучше покажет парсер HTTP/2 на рубях, который вообще кому-то и зачем-то будет нужен в таком виде. Писать ЭТО на тормозной скриптоте - бессмысленно и беспощадно. Но голимый пиар же не запретишь :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #47, #74

46. Сообщение от Аноним (-), 04-Апр-24, 23:22	+/–
> Дело не в языке, а в спецификации протокола, при реализациях которой > приходится делать не описанные в протоколе ограничения. Извини, весь common sense в спецификации не вколотишь. А сколько ты там ресурсов в сервер вбухать готов - кто ж знает? Вдруг у тебя там петабайт оперативы? Тогда атакующий трафик заманается наливать и это вообще не атака.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

47. Сообщение от Ivan_83 (ok), 05-Апр-24, 01:22	+/–
На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать под мизерную нагрузку чем ставить и настраивать что то отдельное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #50

48. Сообщение от Аноним (-), 05-Апр-24, 01:23	+/–
> Вангую фиксинг дропом поддержки http/2. В пользу HTTP/3 - который суть то же самое, но поверх UDP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #57

49. Сообщение от Аноним (49), 05-Апр-24, 02:21	+1 +/–
Вектор атаки прост как топор. Сейчас в сервисах ограничения на входные данные не проверяют разве что совсем конченые. А с HTTP/2.0 сразу понятно где грабли зарыты и на что нужно обращать внимание в реализациях
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

50. Сообщение от Аноним (-), 05-Апр-24, 02:42	+/–
> На "скрипоте" пишут в основном в качестве PoC и для случаев когда проще написать > под мизерную нагрузку чем ставить и настраивать что то отдельное. Но посмотреть как бы он на деле спправился с этой задачей - вместе с фреймингом и HPACK - было бы интересно. А вот после этого можно было бы поговорить сколько там у него ресурсных вулнов якобы не будет. На словах все донкихоты, а реализуй они и правда этот протокол своей рубей - у них оно поди вообще развалится в хлам от первого же тыкания палочкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #51

51. Сообщение от Ivan_83 (ok), 05-Апр-24, 03:15	+/–
Лично я не вижу смысла в HTTP/2 вообще, а реализовывать его на высокуровневых языках тоже смысла нет, проще обычный 1.1 разобрать и закрыть проблему с транспортом и перейти к реализации функционала какогото полезного/нового.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #54

52. Сообщение от Аноним (52), 05-Апр-24, 04:49	+1 +/–
NIST awards $3.6 million to address the cybersecurity workforce gap The grants of roughly $200,000 each will go to 18 education and community organizations in 15 states that are working to address the nation’s shortage of skilled cybersecurity employees. Источник: https://www.helpnetsecurity.com/2024/04/04/nist-cooperative-.../ Может специалисты ИБ помогут. А в целом, похоже на то что готовиться HTTP3 к массовому выходу и это похоже на рекламу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

53. Сообщение от Аноним (52), 05-Апр-24, 04:58	+/–
Сидеть на гугле будут все! Хотя казалось бы - чего так сложно то разработать свои технологии? Всё начинается с умных людей (философов), которые порождают умную идеологию своего мира. Потом уже другие умные люди согласно этой технологии порождают технологии, предоставляя возможности. И уже потом другие умные люди этими технологиями пользуются - лечат других людей, общаются, обучают, защищают, выращивают, торгуют. И вот тут я задаюсь вопросом - где в этом всем веб с его HTTP2.0, которым заправлять будет одна американская компания? Мне кажется что современные инструменты открытого кода какие-то неправильные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #55

54. Сообщение от Аноним (-), 05-Апр-24, 05:46	+/–
> Лично я не вижу смысла в HTTP/2 вообще, Параллельные потоки, меньше RTT ненужных, нет Head Of Line Blocking. Поэтому вы там не видеть можете все что хотите, а весь топовый крупняк который интересовал User Experience - давно на него перешли. И на минуточку в этом вашем HTTP/1.1 вулнов еще и поболее было - например на разной трактовке разным софтом переводов строк и прочей характерной прелести которой сабж не снабжен. И ресурсных атак на него - немеряно во всех ипостасях. > а реализовывать его на высокуровневых языках тоже смысла нет, проще обычный 1. >1 разобрать и закрыть проблему с транспортом и перейти к реализации функционала > какогото полезного/нового. Просто гражданин утверждал что у него вот именно это вышло бы - ЗБС. Как показывает практика на таких выразительных ЯП чаще всего, пардон, наколенное г-но не подлежащее майнтенансу почему-то. Так что без иллюстрации делом это ни о чем. А конкретно ruby вообще уже сдох наполовину по сути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #58, #65

55. Сообщение от Аноним (55), 05-Апр-24, 07:05	+/–
Капитализм. При коммунистах такого не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #56

56. Сообщение от Аноним (-), 05-Апр-24, 07:31	+/–
> Капитализм. При коммунистах такого не было. Логично! Нет интернета - нет вулнов в его протоколах. При коммунистах - в СССР гражданам было строго запрещено юзать модемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59, #60

57. Сообщение от Аноним (57), 05-Апр-24, 07:40	+/–
HTTP/3 даже не поддерживает HTTP! Вот умора! Только шифрование HTTPS под сертификатами (((авторитетов))) прибитое гвоздями и болшьеш никак! Цифровой гуглаг чистой воды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

58. Сообщение от scriptkiddis (?), 05-Апр-24, 07:44	+/–
User Experience этот твой, никого не интересует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #61

59. Сообщение от Аноним (55), 05-Апр-24, 08:02	+/–
А зачем им арпанет, американская военная сеть? Были свои процессоры, компьютеры, протоколы и сети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

60. Сообщение от 1 (??), 05-Апр-24, 09:13	+1 +/–
Пруфы будут ? При СССР вполне себе продавался модем Менатеп (sic!), 2400, Манчестерский код. Вязался только промеж собой. Можно было от телефониста получить люлей, так как забивал не только свою, но и соседние линии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #63

61. Сообщение от Аноним (-), 05-Апр-24, 09:16	+/–
> User Experience этот твой, никого не интересует. Угу, пока не начинается отток юзерей и не возникает вопрос ребром "а из чего мы вам, д@лб@бам будем зарплату платить?!". И дальше вариантов немного. Либо все приходит а более-менее устраивающее юзерей состояние так что они юзают сервис, либо если не прокатило - чудо тима отправляется на мороз, элонмаск стайл. Не, акционеры не спонсируют лохов и лузеров вечно из своих. Извините. Они не для этого свои бабки вкладывали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

62. Сообщение от YetAnotherOnanym (ok), 05-Апр-24, 09:29	+/–
> приводит к передаче на сервер большого числа заголовков, которые сервер сохраняет в оперативной памяти до тех пор, пока доступная процессу память не будет исчерпана > Для HTTP/2 в силу усложнения протокола многие реализации не предусмотрели подобные методы защиты от бесконечной отправки заголовков Ыыы... какая прелесть!
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Аноним (68), 05-Апр-24, 10:35	+/–
> Пруфы будут ? При СССР вполне себе продавался модем Менатеп (sic!), 2400, > Манчестерский код. Вязался только промеж собой. Можно было от телефониста получить > люлей, так как забивал не только свою, но и соседние линии. Насколько я помню подключать модемы как впрочем и аоны было запрещено правилами как минимум телефонных узлов. Так что в эпоху BBS'ов все сыковались - но все же юзали. И по моему про это все всякие радио и проч - писали. Что мол так-сяк но использование модемов по телефонным сетям - официально запрещено. И как я поенимаю энное время это была некоторая полунелегальщина. Кстати если что, подключать абы что к телефонным сетям запрещал и - внезапно - амеровский AT&T, из за чего первые модемы были довольно извратными конструкциями где трубка телефона кладется на специфичный девайс с динамиком и микрофоном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #66, #71

64. Сообщение от Хейтер (?), 05-Апр-24, 11:47	+/–
>хорошо что с Java всё хорошо - в списке не подверженных (как и подверженных) атаке серверов не заметно Tomcat. Так что не факт что с Java "всё хорошо"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #67

65. Сообщение от Ivan_83 (ok), 05-Апр-24, 12:13	+/–
RTT вещь фундаментальная и зависит от скорости света в конкретных средах + времени обработки в куче железок по пути а не от протокола. Head Of Line Blocking - тоже нет, просто вместо одного соединения их обычно штук до 10 приходит от одного клиента на один сервер и это нормально. "весь топовый крупняк который интересовал User Experience" - и если посмотреть то там один только гуголь, которому это всё было надо ровно для того чтобы он мог списывать рекламные бюджеты сказав: "вот смотрите, я юзеру запушил ваш баннер", притом юзер мог его не запрашивать и не получить, не говоря уже об просмотре. Может вы когданибудь и узнаете сколько миллиардов это принесло гуглу на ровном месте совершенно легально. "HTTP/1.1 вулнов еще и поболее было" - это только вас заботит. Мне же достаточно того что оно работает, что накидать свой клиент можно хоть на shell script, ровно как и сервер, и что отлаживать это легче лёгкого ибо текст разбирать можно глазками в отличии от бинарных данных. "например на разной трактовке разным софтом переводов строк" - это было очень очень давно, наверное до вашего рождения :) "ресурсных атак на него - немеряно во всех ипостасях" - и? оно давно изучено и порезано лимитами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #68

66. Сообщение от Ivan_83 (ok), 05-Апр-24, 12:27	+2 +/–
При совке АОН только появился, как фича для самих телефонистов. Бывало возьмёшь трубку чтобы ответить на звонок а там мелодичный звук с пол секунды - это АТС слало номер. И первые АОН просто декодировали этот звук. Уже после развала совка телефонисты начали мутить и хотеть срубить бабла, и сигнал АОН в начале перестали отправлять всем подряд и слали только по запросу, и у многих АОН пришлось менять на такой который умел слать запросы. Ещё лет через 5 у них появилась возможность это как то привязать к биллингу и они захотели рубить за фичу денег, это уже ближе к 2к году было. А уж что подключено у абонента дома - так тут хер докажешь, если только он телефонную линию в 220 не воткнул, ибо домой телефониста никто не пустит, а даже с участковым есть куча времени чтобы выдернуть всё ненужное из телефонной линии. Что касается модемов - то пока время не тарифицировалось у телефонистов пригорало, ибо падал коэфициент мультиплексирование, деградировала услуга и они получали люлей. А их АТС в те времена могло одновременно коммутировать ограниченное число линий. Но сделать они с этим ничего не могли: потому что слушать абонента запрещено, а если ты не слушаешь что там внутри то и доказательств что он там по часу не болтает а модемится у тебя нет. В общем они это победили опять же глубоко после 2к года введя повременную оплату, примерно с этим пришли всякие домонеты и DSL. Про засирание модемом соседних линий - брехня. Такое могло происходить только в случае если как обычно затопило линии и они коротят между собой. В общем не сочиняйте того чего не знаете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #69

67. Сообщение от Golangdev (?), 05-Апр-24, 12:48	+/–
сами себе противоречите совет - проверяйте сообщение, прежде чем его отправить а с джавой действительно всё хорошо %)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #72

68. Сообщение от Аноним (68), 05-Апр-24, 13:06	+1 +/–
> RTT вещь фундаментальная и зависит от скорости света в конкретных средах + > времени обработки в куче железок по пути а не от протокола. Зато протокол может поубавить их число и влияние на перфоманс. > Head Of Line Blocking - тоже нет, просто вместо одного соединения их > обычно штук до 10 приходит от одного клиента на один сервер и это нормально. Это жрет больше системных ресурсов и генерит больше пакетов, и в целом таки работает хуже. > "весь топовый крупняк который интересовал User Experience" - и если посмотреть > то там один только гуголь, Cold blooded fact: h2 в мониторе сети моего браузера (я иногда еще и дебажу запросы!) светится в практически ВСЕМ, ну вот кроме опеннета. Что хочешь то и делай. Ну пусть t.me - морда телеги. H2 во все поля. И так куда ни ткни. > которому это всё было надо ровно для того чтобы он мог списывать рекламные бюджеты Ему кое-что другое надо было - user experience в их сервисах. Чтобы остальных задвинуть чисто технологически. > это принесло гуглу на ровном месте совершенно легально. Если кто не в курсе, пуш дропнули как фичу стандарта. > "HTTP/1.1 вулнов еще и поболее было" - это только вас заботит. Я не намерен разводить двойные стандарты в оценке технологий. > Мне же достаточно того что оно работает, что накидать свой клиент можно > хоть на shell script, ровно как и сервер, и что отлаживать Можно. Но лучше не нужно. Ибо 99.9% что там будут жесткие вулны пачками. Поэтому ценность этой наколени равна нулю. А файло разово перекинуть можно и неткатом/ssh или даже просто bash (/dev/tcp) или что там у кого. Выписывать для этого недореализацию HTTP и избыточно и ни к чему хорошему не ведет. > это легче лёгкого ибо текст разбирать можно глазками в отличии от > бинарных данных. Угу. Пока хаксор не пришлет ../../../../etc/password твоему серваку :). В этом месте Джо начнет догадываться что писать НОРМАЛЬНЫЙ сервер нифига не просто и не легко. И такого счастья там более 9000 наименований. Половина из коего в H1 как раз из-за работы с строками и того что ваше понимание этого вопроса совсем не факт что совпало с идеями клиента, вон того прокси/бэка и ушлого хаксора. Откуда и CVE пачками, собссно. > "например на разной трактовке разным софтом переводов строк" - это было очень > очень давно, наверное до вашего рождения :) Да вообще-то такой десинк фронта и бэка ("Request Smuggling") ведущий к тому что запрос от левого атакуюшего подошьется к легитимному юзерскому - не очень древнее направление. И вон то один из топиков. В H1 вообще есть мест которые они могут понять по разному. > "ресурсных атак на него - немеряно во всех ипостасях" - и? оно > давно изучено и порезано лимитами. И там списочек так то - весьма длинный. Ну и тут вот - изучают, вот. Сам H2 так то не сказать что вот прям сложный. Разве что HPACK - но он имеет свои причины, глупо постоянно передавать одно и то же. А на миллионах запросов это превращается в дофига трафа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #70

69. Сообщение от Аноним (68), 05-Апр-24, 13:22	+1 +/–
> При совке АОН только появился, как фича для самих телефонистов. Он вообще вроде как фича СОРМ изначально задуман был. Но фичу прочухали и стали юзать. > Бывало возьмёшь трубку чтобы ответить на звонок а там мелодичный звук с > пол секунды - это АТС слало номер. Нормально для этого надо было бибикать 500, чтоли, Гц. Но иногда таки и без этого вылетало. > И первые АОН просто декодировали этот звук. Он без явного запроса в виде бибикания сразу после съема трубки - был лишь очень изредка, как результат каких-то глюков. > начале перестали отправлять всем подряд и слали только по запросу, Он всем подряд никогда и не отправлялся. Ну вот не было пиликания вызывающего вопросы при каждом входящем звонке. Просто были какие-то глюки когда в каких-то случаях номер сыпался и без запроса. А так все аоноклепатели в курсе были что надо запрос слать. И кусок этого бибика был отлично слышен исходящей стороне. Как и изменение гудка потом, когда АОН косит под гудки сам. > даже с участковым есть куча времени чтобы выдернуть всё ненужное из телефонной линии. Ну поэтому реально никому за модемы и аоны вроде ничего особо не было. > Что касается модемов - то пока время не тарифицировалось у телефонистов пригорало, > ибо падал коэфициент мультиплексирование, деградировала услуга и они получали люлей. Это все же редкость была. BBS - парились шарингом времени на всех, скидывая через полчаса-час чтобы и другиие тоже могли поюзать. Ряд даже морочались с АОНом для этого. > А их АТС в те времена могло одновременно коммутировать ограниченное число линий. Многие BBS работали только вечером, ибо днем телефонные линии были нужны как - телефон. А ночью они всем похрен в целом. > оплату, примерно с этим пришли всякие домонеты и DSL. Ну и победили они в результате... PSTN, с чем их и поздравляю :))) > Про засирание модемом соседних линий - брехня. Вот кстати линии мокли хорошо, чужой спич после дождя BPS рушил порядком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #76

70. Сообщение от Ivan_83 (ok), 05-Апр-24, 13:38	+/–
> Зато протокол может поубавить их число и влияние на перфоманс. Вы отстали, там уже всё лишнее давно срезали. > Это жрет больше системных ресурсов и генерит больше пакетов, и в целом таки работает хуже. Жрёт больше, работает лучше. У вас помимо боязни багов ещё фобия до использования системных ресурсов :) > Cold blooded fact: h2 в мониторе сети моего браузера То что кто то включил на сервере http/2 не означает что это было решение принятое на основании каких либо изысканий, считай обдуманное и обоснованное. > Ему кое-что другое надо было - user experience в их сервисах. Чтобы остальных задвинуть чисто технологически. Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс, там его два процента приросло и то если правильно считать. Они посчитали деньги и не смогли отказатся. Так же как до того они возможно увидели тенденцию что рекламу вырезать на обычном http проекси очень легко и начали всех натягивать на TLS. > Можно. Но лучше не нужно. Ибо 99.9% что там будут жесткие вулны пачками. Поэтому ценность этой наколени равна нулю. Чувак, мне надо чтобы оно работало, а не чтобы оно было мифически безопасным. Тема с shell script http клиентом она тоже не с потолка в моей голове взялась, это костыль который мне нужен был в одном из сценариев того что я изредка делаю. Настолько редко и в таких условиях что при всём желании эксплуатация мифических уязвимостей имеет огромную отрицательную стоимость. (это нужно было одно время когда я рутовал андройды чтобы скачать пару файлов, включая opkg, который дальше уже сам качал). > Пока хаксор не пришлет ../../../../etc/password твоему серваку :) И!? Я не буду вырезать это, я просто сделаю: www_root = open("/usr/local/www") user_file = openat(www_root, requested_url); > Откуда и CVE пачками, собссно. Просто у вас психическое расстройство, я не шучу. Плевать на CVE, единственное что имеет смысл это положительное соотношение: профита/негатива. Как в денежном так и на уровне восприятия. Но в отсновном в деньгах считают. Вот вы сидите и боитесь CVE и ошибок, а я сижу и пишу код чтобы он решил мои насущные проблемы, и мне без разницы какие там будут ошибки - потому что ошибки я исправлю когда они найдутся, главное чтобы оно делало то что мне надо. > ("Request Smuggling") ведущий к тому что запрос от левого атакуюшего подошьется к легитимному юзерскому - не очень древнее направление. И вон то один из топиков. В H1 вообще есть мест которые они могут понять по разному. Вы бы читали и понимали прочитанное для начала. Это про различные интерпретации заголовков и их последовательностей. В частности там была особенность что одни реализации воспринимают первый попавшийся заголовок а другие последний (повторяющийся заголовок), и потому идёт различная интерпретация. А переводы строк - это древняя древнота, по стандарту CRLF, на остальное можно забить, при этом для парсера при встрече с запросом в котором только LF он будет не валидным. > Разве что HPACK - но он имеет свои причины, глупо постоянно передавать одно и то же. А на миллионах запросов это превращается в дофига трафа. На фоне той же бесполезной рекламы, отвратительных трекеров, корявых жабаскриптах и прочем мусоре который генерит современная веб индустри эти заголовки даже не 0,0001% трафика. Вы опять решаете проблемы которой нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #77

71. Сообщение от Kuromi (ok), 05-Апр-24, 13:49	+/–
Помню как в 2000-е телефонисты в СМИ возмущались тому что проклятые dial-up-ы делают на их телефонных линиях бабло, а им только нагрузка на сеть достается. А еще байки о том как в Москве в 90-ые и начале нулевых по ночам шли обзвоны в поисках модемов которые трубку поднимут. Искали "нелегальные узлы связи",а так же фидонетчиков всяких. Впрочем, говорят в 90ые после распада СССР принтеры полагалось в милиции регистрировать поначалу, а то вдруг самиздат начнется...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

72. Сообщение от Хейтер (?), 05-Апр-24, 14:55	+/–
>сами себе противоречите - способны написать в чём? Лично я противоречий в своем посте не вижу, но если что-то непонятно готов пояснить >а с джавой действительно всё хорошо %) - если Вы такой умный, то подскажите дуракам, есть описанная уязвимость в Tomcat или нет? Или Вы только по советам мастер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

74. Сообщение от Аноним (74), 05-Апр-24, 19:34	+/–
> Пусть лучше покажет парсер HTTP/2 на рубях Вас в гугле забанили что ли? https://github.com/igrigorik/http-2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

75. Сообщение от Аноним (74), 05-Апр-24, 19:43	+/–
По крайней мере одна реализация существует. Но вообще-то это типичная задача для реализации на С и прикручивания биндингов для более высокоуровневых разных языков. Чтобы и реализация была быстрой, и разработка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

76. Сообщение от Имя (?), 05-Апр-24, 22:32	+/–
>Он вообще вроде как фича СОРМ изначально задуман был. Но фичу прочухали и стали юзать. Он был задуман для биллинга выхода на автоматический межгород ("8") на координатных и прочих старых АТС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

77. Сообщение от Аноним (-), 06-Апр-24, 09:03	+/–
> Вы отстали, там уже всё лишнее давно срезали. По моему отстал не я. H2 технически более совершенная штука. > Жрёт больше, работает лучше. Поэтому верхушка top busiest на h2? ;) > У вас помимо боязни багов ещё фобия до использования системных ресурсов :) Двойные стандарты не рулят. Я применю к вам ваши же заявочки в адрес вон тех и посмотрю как вы под этим углом. Так честнее. > То что кто то включил на сервере http/2 не означает что это было решение принятое > на основании каких либо изысканий, считай обдуманное и обоснованное. Крупняк который это ВЕСЬ сделал - умеет такое ;) > Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс, Чем лучше UX тем чаще и охотнее юзают сервис. Иногда запрос не оч важен, юзер колеблется между забить или спросить. Чем тормознее, тем больше выберут "забить". > Так же как до того они возможно увидели тенденцию что рекламу вырезать > на обычном http проекси очень легко и начали всех натягивать на TLS. Легче - в браузерной спамодавке, даже врезаные в пагу блоки скрыть может. А в прокси это как? > Чувак, мне надо чтобы оно работало, а не чтобы оно было мифически безопасным. Чувак, двойные стандарты и скидки себе - не рулят. > из сценариев того что я изредка делаю. Даю 99.5% что это синдром утенка и/или NIH. > уязвимостей имеет огромную отрицательную стоимость. Не хуже чем ваши конструкции на шелле. > (это нужно было одно время когда я рутовал андройды чтобы скачать пару > файлов, включая opkg, который дальше уже сам качал). А там нет ни wget ни нетката? В любом случае нишевая задача решаемая более 9000 способов. >> Пока хаксор не пришлет ../../../../etc/password твоему серваку :) > И!? Ы. Почему я должен с вон тех спросить а с вашей наколени - нет? Вы типа особенный? > Я не буду вырезать это, я просто сделаю: И все равно будет более 9000 способов залететь. Я видел как это работает, можете не пытаться мне рассказывать. > Просто у вас психическое расстройство, я не шучу. Просто я немного интересовался топиком. И видел как выглядит девелоп вебсерваков с ноля. Даже для HTTP 1.x. А хамить в таком стиле когда весь мир юзает H2 - удачи, посмотрим у кого расстройство. > Плевать на CVE, единственное что имеет смысл это положительное > соотношение: профита/негатива. Удачи вам в ваших начинаниях, сэр. И уж не обижайтесь когда ваши наколенные поделки на шелле никому не вопрутся даже бесплатно. Да, я тоже могу невкусно отлупить. > Как в денежном так и на уровне восприятия. Но в отсновном в деньгах считают. Оок! А если ваши стандарты применять - к вам? Ваше поделие на баше стоит ровно $0.00 для внешнего мира, а время потрачено. EPIC FAIL. Как вам такая идея? :) > разницы какие там будут ошибки - потому что ошибки я исправлю > когда они найдутся, главное чтобы оно делало то что мне надо. Для внешнего мира ценность хни на шелскрипте как HTTP сервера - имхо 0. > Вы бы читали и понимали прочитанное для начала. Вы бы научились еще думать головой и не хамить, вообще было бы замечательно. > Это про различные интерпретации заголовков и их последовательностей. Да, и одна из ипостасей это например разная реакция на допустим CR, LF, CR+LF. Спеки все читали по диагонали и воон там красиво на этом налетали. С прикольными CVE. Вот прям на этом. > а другие последний (повторяющийся заголовок), и потому идёт различная интерпретация. А еще бывает так что они там по разному реагируют на заголовки с "аномалиями" и отклонениями от стандарта, фронт и бэк десинкаются и в лучшем случае подарок от атакующего прицепится к чужому запросу (например вон того админа, сделав что-то от его лица). > А переводы строк - это древняя древнота, по стандарту CRLF, на остальное можно забить, Ага, только "можно забить" у разных фронтов/бэков бывает сделано по разному, и тогда... :))). А заодно есть и вариант когда H2 фронт и H1 бэк это дело могут по разному понять, в эту игру можно играть и вдвоем. > На фоне той же бесполезной рекламы, отвратительных трекеров, корявых жабаскриптах и > прочем мусоре который генерит современная веб индустри эти заголовки даже не 0,0001% Ога, ога, у гитхапы всего 66 яваскриптов заинклюжено... врядли это вон та величина будет. Ща в моде мелко и модулярно нарезать. Когда протокол диктует логику и структуру контента это булшит, господа. > трафика. Вы опять решаете проблемы которой нет. Да вас послушать - можно было на деревянной телеге с клячей рассекать. И чего Форду спокойно не сиделось?! Нет бы более быстрых лошадей выводил...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #79

78. Сообщение от Аноним (78), 06-Апр-24, 13:56	+/–
На рубях написан хттп сервер? Сколько там запросов в секунду? 5-10?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

79. Сообщение от Ivan_83 (ok), 06-Апр-24, 21:53	+/–
> По моему отстал не я. H2 технически более совершенная штука. Это ничего не значит. > Крупняк который это ВЕСЬ сделал - умеет такое ;) Миллионы мух не могут ошибатся. > Чем лучше UX тем чаще и охотнее юзают сервис. Где UX и где задержка в 5 мс? > А в прокси это как? Proximitron и тому подобные штуки. Они тоже умели резать регэкспами на лету страницы, и его достаточно было одного на всю домашнюю сеть. > Даю 99.5% что это синдром утенка и/или NIH. Утёнок тут даже близко не стоял, не уверен что вы понимаете суть этого явления. NIH - нет. Это кастомизация под себя, а не переизобретение существующего. > Не хуже чем ваши конструкции на шелле. Конструкции на шеллскрипте работают и делают что надо, а у вас хоть что то хэнд мейд есть или страшно? > А там нет ни wget ни нетката? Не всегда оно оно есть :( > Почему я должен с вон тех спросить а с вашей наколени - нет? Вы типа особенный? Да, я очень особенный. И я вам показал волшебный openat(). > И все равно будет более 9000 способов залететь. Я видел как это работает, можете не пытаться мне рассказывать. Чувак, я тебе сказал: МНЕ ПОФИГ. До тебя просто не доходит никак в этой жизни: совершать ошибки - это нормально, это то как работает мир. Будет ошибка - поправлю или обойду или забью, в зависимости от того насколько оно актуально. Твоя проблема в том, что ты пытаешься все риски свести в нуль, так не бывает. У тех у кого нет рисков в жизни - они живут очень плохо. Пока ты будешь писать самую безопасную в мире прогу, другой чел напишет MVP с 100500 дыр, релизнется, наберёт 100500 аудитории, 1000050000 бабла, его 50 раз взломают, он раз 20 извинится попивая тэкилу на гаваях и продолжит собирать бабло, а ты так и будешь писать никому ненужное супернадёжное ПО. В реальной жизни за пределами софта всё ещё интереснее, и даже не представляешь сколько там такого что сделано на "отвали" от чего зависит твоя жизнь каждый день. > Просто я немного интересовался топиком. И видел как выглядит девелоп вебсерваков с ноля. Даже для HTTP 1.x. А хамить в таком стиле когда весь мир юзает H2 - удачи, посмотрим у кого расстройство. А мне плевать, и на h2 и на nginx и на всех остальных. (хотя nginx я люблю, но после заглядывания внутрь немного меньше) Прикинь, да? Потому что критерий всего это нужность(востребованность), работоспособность, и где то в конце списка идёт твоя безопасность и всякие там прочие ненужности. У меня самописный http/1.1 сервак на сях, он обслуживает десятки тыщ юзеров ежесуточно. И работает оно уже более 10 лет. Вот пока ты дрюкаешься на безопасность и прочее я взял и накодил то чем пользуются. https://github.com/rozhuk-im/liblcb/blob/master/src/proto/ht... https://github.com/rozhuk-im/liblcb/blob/master/src/proto/ht... это всё в составе msd/msd_lite юзается, и в том числе торчит местами в инет. > И уж не обижайтесь когда ваши наколенные поделки на шелле никому не вопрутся даже бесплатно. Да, я тоже могу невкусно отлупить. Наколенная поделка на шелле - это пример внутренней автоматизации, где на безопасность положено с прибором настолько что дальше некуда. > Да, и одна из ипостасей это например разная реакция на допустим CR, LF, CR+LF. Написал же: всё что не CRLF - дропаем как инвалидное. >  и в лучшем случае подарок от атакующего прицепится к чужому запросу (например вон того админа, сделав что-то от его лица). Да и пофиг, пофиксят и откатят. > Ща в моде мелко и модулярно нарезать. Когда протокол диктует логику и структуру контента это булшит, господа. Вы тут сами себе что то придумали. Я вам ещё раз повторю: плевать на оверхэд от заголовков в http/1.1, по сравнению с тем мусором что летает в сети в виде баннеров, рекламы, трекеров и прочего это просто ниачом. > Да вас послушать - можно было на деревянной телеге с клячей рассекать. Если вы считаете что в инете всё ок то либо вы не видели или не осознали сколько ненужного вам прилетает либо считаете что так и должно быть, и тогда мне остаётся только зафиксировать на этом своё с вами категорическое не согласие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема