| |
| |
| 3.19, Аноним (-), 10:28, 26/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +3 +/– |
GOTO есть даже в C. А не использовать его нельзя. Это как jmp в ассемблере. Просто кому то не понравилось, вот он и сказал что использование GOTO дурной стиль програмирования.
| | |
|
|
| |
| 2.5, Аноним (5), 00:46, 26/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +5 +/– | |
Судя по коду патча, да.
Но найти в дикой природе возможность эксплуатировать уязвимость будет крайне непросто. Для типичной конфигурации resolver не нужен. Если resolver и включен, то обычно указывает во внутреннюю сеть. А если даже кому-то пришло в голову использовать nginx как обычный (не реверсный) прокси-сервер, это ещё надо догадаться, откуда он там резолвит, и найти способ подменить трафик. В целом, взломать таким образом можно только инфраструктуру предприятия изнутри - скажем, имея доступ ко внутренней сети, зная, какая там конфигурация, но не имея непосредственного доступа к серверу.
Потому никто и не замечал.
| | |
| |
| |
| 4.22, Аноним (22), 11:50, 26/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Сделать бэкдор, выглядящий как естественным образом написанный код, и при том прятать бэкдор в функциональности, которой почти никто не пользуется, и для эксплуатации которой надо вмешиваться в трафик? Притом что есть парсер http, в котором куча хардкорных оптимизаций, затрудняющих чтение кода, и который доступен для эксплуатации простой отправкой запроса?
В такое сочетание гениальности и идиотизма сложно поверить.
| | |
| |
| 5.23, Онаним (?), 14:00, 26/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Естественно всё в рамках конспирологии )
Парсер HTTP - это первое, что будут высматривать вдоль и поперёк все аналитики от ИБ.
А вот в резолвер, который "почти не используется", заглянут уже не все.
Кроме того место удобное - он используется в частности теми, кто знает про OCSP, потенциально приоритет таких целей как раз выше.
| | |
| |
| |
| 7.43, Онаним (?), 09:11, 28/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
> Ну, знать про OCSP, и при этом не поднять внутренний резолвер
Адепты кубернетесов с докерочками умудряются целые СУБД голым задом в сеть выставить, а вы от них внутреннего резолвера ждёте. На амазончик свой CI/CD как кот накатили, 8.8.8.8 работает, ПРЭКРАСНО!
| | |
|
|
|
|
|
|
| 1.7, Ilya Indigo (ok), 05:34, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off;
Резолвер в nginx нужен для ssl_stapling, иначе в логах куча ошибок.
Только я сомневаюсь что кто-то перехватит трафик от клодфлеера или гугла, кроме их самих.
| | |
| |
| |
| 3.21, Аноним (21), 10:51, 26/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Блокировка по DNS - детский сад. Единственное, что там стоит проверять - не используют ли твоих клиентов в для DNS reflection. Поэтому имеет смысл заворачивать к себе все, что идет НЕ на well-known резолверы.
| | |
| 3.30, нах.. (?), 16:25, 26/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –4 +/– | |
пока что в наличии таких железок признался горе-оператор в деревне где-то в неближнем запоребрике.
А в скрепной, увы, нет таких железок. И все попытки порулить оканчиваются фейлом. Не деревенские, понимаешь, масштабы то...
| | |
| |
| 4.35, Онаним (?), 23:26, 26/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
В скрепной если не скат, то редуктор или аналогичная хрень.
Которая вполне себе и слушает, и вмешивается.
Причём у каждого. Потому что позор и ревизор.
| | |
| |
| 5.38, нах.. (?), 11:04, 27/05/2021 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –4 +/– | |
> В скрепной если не скат, то редуктор или аналогичная хрень.
ну да, тебе иззапоребрика-то виднее.
> Которая вполне себе и слушает, и вмешивается.
> Причём у каждого.
ни разу. У каждого - только железки СОРМ, которые нужны для лицензии. Ни слушать, сами по себе, ни тем более вмешиваться неспособны. Хорошо если хотя бы вообще работают как должны, а не как на от-сь сделано.
А экскременты ростелекома каждый раз заканчиваются эпикфейлом, а DC у лягушатников горят недостаточно часто чтобы всегда была на готове отмазка "это не мы" и "ихтамнет".
| | |
| |
| |
| 7.40, нах.. (?), 14:45, 27/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– | |
> Так было, пока "ревизор" не появился.
Ревизор не перехватывает траффик. Он косплеит пользовательское подключение. Причем на уровне "мамой клянус - пользовательское". (А на деле у этого куска г-на из переделанного длинка единственный вариант - ethernet. Как бы я мамой не клялся, нету у меня для него гармошки.)
И даже при этом - ничем не отличается от живого пользователя из Калининграда, накатавшего на нас жалобу что мы плохо защищаем его от интернета.
| | |
|
|
|
|
|
| |
| 3.46, твой провайдер (?), 11:34, 28/05/2021 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Не ссы, мы их оба подняли у себя на своем dns. Поэтому у других васянов прислать тебе поддельный ответ не получится, мы его, разумеется, еще на бордере дропнем как явно непрошенный.
P.S. мы действительно так делали, лет десять тому, до всеобщего щастья с dohлым номером.
Но присылать тебе поддельные пакеты не входило в наши задачи. Мы вообще-то на деньги пользователей живем, и стараемся за эти деньги делать для них, а не от них.
| | |
|
|
|
