forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Критическая уязвимость в Drupal, opennews (?), 28-Мрт-18, (0) [смотреть все]

Это не дыра, это фича , Аноним (-), 23:59 , 28-Мрт-18, (2) +18 //

господи друпал это жи грех какой то , Аноним (-), 21:17 , 29-Мрт-18, (34) +1

А патчи в стили PHP, годы идут, ничего не меняется Мы тут ввод подчистим, вмест, Аноним (-), 00:02 , 29-Мрт-18, (3) //

принципиальная дыра - это вообще работать с каким-либо user input В противном с, пох (?), 00:32 , 29-Мрт-18, (4) –1 //

Принципиальная дыра - это ожидать, что в user input будет только то, что там дол, YetAnotherOnanym (ok), 18:56 , 29-Мрт-18, (33) //

они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, пох (?), 16:16 , 31-Мрт-18, (48) –1

Принципиально дыра в головах Прикрыть будет ооооочень сложно , anomymous (?), 11:55 , 31-Мрт-18, (43)

Что, опять , th3m3 (ok), 01:15 , 29-Мрт-18, (5) +3
https www drupal org files issues 2018-03-28 SA-CORE-2018-002 patchдля Drupal6, Sylvia (ok), 07:03 , 29-Мрт-18, (6) +1 //

Drupal6 упоминается почему-то только в одной ссылке В двух других только 7 и 8 , dq0s4y71 (ok), 23:16 , 28-Апр-18, (51)

Одним словом - пехапе, Аноним (-), 08:05 , 29-Мрт-18, (7) –3 //

Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов, IRASoldier (?), 08:21 , 29-Мрт-18, (8) +4 //

ну, на самом-то деле, изначальное отсутствие в языке с низким порогом вхождения, Аноним (-), 10:29 , 29-Мрт-18, (11) –1 //

В современном PHP все уже есть А в старом коде времен php4, да, я видел парсеры, KonstantinB (ok), 11:18 , 29-Мрт-18, (15)

так это одной А полмиллиона других компаний сэкономили на этом по доллару - и в, Аноним (-), 12:30 , 29-Мрт-18, (17) +1

Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП , KonstantinB (ok), 13:04 , 29-Мрт-18, (23) +1

htmlspecialchars, filter_var, Аноне (?), 10:34 , 30-Мрт-18, (40)

это слишком низкоуровневые конструкции, и к тому же они by design неверны если , пох (?), 13:45 , 31-Мрт-18, (46) –1

Дырень касается всех или только тех у кого есть какие-то пользователи и они чего, Fy (?), 08:53 , 29-Мрт-18, (9) –1 //

если у твоего локалхоста нет пользователей - нет, тебя не касается Особенно есл, ваш К.О. (?), 10:17 , 29-Мрт-18, (10) +2 //

Тонко, Солнышко (??), 14:08 , 29-Мрт-18, (26) //

Да куда уж тоньше Словно сайты без аунтификации и прочих форм ввода бывают толь, Аноним (-), 16:22 , 30-Мрт-18, (41)

Касается всех, даже включение режима обслуживания не спасет Ошибка прямо с бутс, 123 (??), 10:39 , 29-Мрт-18, (12)

Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программ, Солнышко (??), 11:12 , 29-Мрт-18, (13) –2 //

И безопасность, как видим, тоже Но шкурку натянуть можно, это да , Аноним (-), 12:29 , 29-Мрт-18, (16) +1 //

Для бизнеса чаще всего важнее шкурка, а не содержание В таком мире мы живем , Солнышко (??), 12:38 , 29-Мрт-18, (19) –1 //

Для бизнеса важны бабки, а как следствие - важно все Просто некоторые осознают , KonstantinB (ok), 13:01 , 29-Мрт-18, (22) +2

или не понесут а при удачном раскладе еще и страховку нехилую получат раскру, ыы (?), 14:05 , 29-Мрт-18, (25) –3

Или продадут успешный стартап, а отдуваться будет подрядчик фирмы, кто его куп, Солнышко (??), 14:08 , 29-Мрт-18, (27) –1
Да вот прямо сейчас последствия работы таких мастеров разгребаю До человека, к , KonstantinB (ok), 15:28 , 29-Мрт-18, (30) +2

Неприятности происходят вне зависимости от того делаете вы что-то или нет с , ыы (?), 16:33 , 29-Мрт-18, (32) –2

Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей, KonstantinB (ok), 23:28 , 29-Мрт-18, (35) +2

Ну чел вообще-то в чём-то прав Вы с ним не согласны , Аноним (-), 00:08 , 30-Мрт-18, (36) –1

Два еврея пришли к раввину, чтобы он разрешил их спор - Ребе, вот я говорю, что , KonstantinB (ok), 05:22 , 31-Мрт-18, (42)

Оу шыт Вы посмотрите на этот патч Он выкидывает все параметры GET POST-запросо, KonstantinB (ok), 11:16 , 29-Мрт-18, (14) +2 //

Система render array https www drupal org docs 8 api render-api render-arrays, 123 (??), 12:46 , 29-Мрт-18, (20) //

Скорее https api drupal org api drupal developer 21topics 21forms_api_referenc, KonstantinB (ok), 12:58 , 29-Мрт-18, (21)

Будь мужиком, покажи класс Напиши свой патч, а мы посмотрим, ок , Солнышко (??), 14:09 , 29-Мрт-18, (28) –3 //

Там изначальная архитектурная ошибка со смешением данных и колбэков в одном масс, KonstantinB (ok), 15:26 , 29-Мрт-18, (29) +3 //

В тот момент эта идея мне показалась привлекательной с анек, ыы (?), 16:27 , 29-Мрт-18, (31) –2

А можно весь анекдот Сходу не нагуглил , Аноним (-), 00:11 , 30-Мрт-18, (37) –1

Так это он весь и есть ыы , Led (ok), 01:21 , 30-Мрт-18, (38)

Смешение user input и callbacks в одном массиве OH SHI Закoпать и не откапыват, anomymous (?), 11:58 , 31-Мрт-18, (44) +1

когда мы это писали - классов в php 4 еще не было а им надо было донести до , пох (?), 13:49 , 31-Мрт-18, (47) –1

Да были классы В конце концов, можно было бы просто два разных массива сделать , KonstantinB (ok), 20:27 , 31-Мрт-18, (49)

Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома , Аноним (-), 07:43 , 30-Мрт-18, (39) –1 //

Он уже миллион лет не на Друпале Это всё реклама , redwolf (ok), 12:45 , 31-Мрт-18, (45) +3

Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют , Robin (?), 11:07 , 28-Мрт-23, (52)

Сообщения [Сортировка по времени | RSS]

11. "Критическая уязвимость в Drupal" –1 +/–

Сообщение от Аноним (-), 29-Мрт-18, 10:29

> Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов
> Не язык должен быть "безошибочным", а код. Так-то.
ну, на самом-то деле, изначальное отсутствие в языке "с низким порогом вхождения" каких-нибудь тривиальных высокоуровневых примитивов вида tosql/tohtml/toxml/tojson и необходимость в каждом случае переизобретать велосипед - очень даже способствует написанию кривого кода. А безошибочного кода не бывает. Бывает хорошо отлаженный.
отдельный привет я-у-мамы-программистам. Прекрасный тест на профпригодность - дать такому задачу "преобразовать untrusted data в,к примеру, sql" (с особым нажимом на слово "untrusted").
Если вы видите, что он сходу начинает писать регекс вместо транслятора - сразу пинка под зад, это рефлексы, это никакому переобучению не поддастся.

Ответить | Правка | Наверх | Cообщить модератору

15. "Критическая уязвимость в Drupal" +/–

Сообщение от KonstantinB (ok), 29-Мрт-18, 11:18

В современном PHP все уже есть.
А в старом коде времен php4, да, я видел "парсеры" XML и JSON через eval(). "Ну а чо, так проще же". Один такой eval() одной компании как-то обошелся в полмиллиона долларов.

Ответить | Правка | Наверх | Cообщить модератору

17. "Критическая уязвимость в Drupal" +1 +/–

Сообщение от Аноним (-), 29-Мрт-18, 12:30

> одной компании как-то обошелся в полмиллиона долларов
так это одной. А полмиллиона других компаний сэкономили на этом по доллару - и вот уже общий баланс неотрицательный :)

Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в Drupal" +1 +/–

Сообщение от KonstantinB (ok), 29-Мрт-18, 13:04

Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП.

Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая уязвимость в Drupal" +/–

Сообщение от Аноне (?), 30-Мрт-18, 10:34

htmlspecialchars, filter_var

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

46. "Критическая уязвимость в Drupal" –1 +/–

Сообщение от пох (?), 31-Мрт-18, 13:45

> htmlspecialchars, filter_var
это слишком низкоуровневые конструкции, и к тому же они by design неверны (если использовать filter не для валидации, с этим-то все в порядке, кроме названия).
То есть малейшая неаккуратность, и получаем дыру типа описанной.
трансляцию надо выполнять не на обработке input (потому что совершенно неизвестно, что мы с тем input делать собираемся - мы его может вообще сейчас as-is бросим обратно в рожу пользователю в тот textarea, из которого получили, потому что он капчу неверно набрал - и зачем, спрашивается, было куда-то транслировать?)
ее надо выполнять в том месте, где ты с этим input что-то собрался делать.
Если в базу собрался положить - тебе нужен sql translator, если в html - html'ный, в js - js'овый. Ну, надеюсь, eval() мы не собираемся? Хотя php-транслятором лучше сразу озаботиться ;-)
Известно это становится только непосредственно на этапе выполнения, уже после всех валидаций и промежуточных обработок (попутно уже нельзя в этом месте вернуть ошибку и ничего не сделать). Именно там и надо фильтровать.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	11. "Критическая уязвимость в Drupal"	–1 +/–
	Сообщение от Аноним (-), 29-Мрт-18, 10:29
	> Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов > Не язык должен быть "безошибочным", а код. Так-то. ну, на самом-то деле, изначальное отсутствие в языке "с низким порогом вхождения" каких-нибудь тривиальных высокоуровневых примитивов вида tosql/tohtml/toxml/tojson и необходимость в каждом случае переизобретать велосипед - очень даже способствует написанию кривого кода. А безошибочного кода не бывает. Бывает хорошо отлаженный. отдельный привет я-у-мамы-программистам. Прекрасный тест на профпригодность - дать такому задачу "преобразовать untrusted data в,к примеру, sql" (с особым нажимом на слово "untrusted"). Если вы видите, что он сходу начинает писать регекс вместо транслятора - сразу пинка под зад, это рефлексы, это никакому переобучению не поддастся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Критическая уязвимость в Drupal"	+/–
	Сообщение от KonstantinB (ok), 29-Мрт-18, 11:18
	В современном PHP все уже есть. А в старом коде времен php4, да, я видел "парсеры" XML и JSON через eval(). "Ну а чо, так проще же". Один такой eval() одной компании как-то обошелся в полмиллиона долларов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Критическая уязвимость в Drupal"	+1 +/–
	Сообщение от Аноним (-), 29-Мрт-18, 12:30
	> одной компании как-то обошелся в полмиллиона долларов так это одной. А полмиллиона других компаний сэкономили на этом по доллару - и вот уже общий баланс неотрицательный :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Критическая уязвимость в Drupal"	+1 +/–
	Сообщение от KonstantinB (ok), 29-Мрт-18, 13:04
	Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Критическая уязвимость в Drupal"	+/–
	Сообщение от Аноне (?), 30-Мрт-18, 10:34
	htmlspecialchars, filter_var
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	46. "Критическая уязвимость в Drupal"	–1 +/–
	Сообщение от пох (?), 31-Мрт-18, 13:45
	> htmlspecialchars, filter_var это слишком низкоуровневые конструкции, и к тому же они by design неверны (если использовать filter не для валидации, с этим-то все в порядке, кроме названия). То есть малейшая неаккуратность, и получаем дыру типа описанной. трансляцию надо выполнять не на обработке input (потому что совершенно неизвестно, что мы с тем input делать собираемся - мы его может вообще сейчас as-is бросим обратно в рожу пользователю в тот textarea, из которого получили, потому что он капчу неверно набрал - и зачем, спрашивается, было куда-то транслировать?) ее надо выполнять в том месте, где ты с этим input что-то собрался делать. Если в базу собрался положить - тебе нужен sql translator, если в html - html'ный, в js - js'овый. Ну, надеюсь, eval() мы не собираемся? Хотя php-транслятором лучше сразу озаботиться ;-) Известно это становится только непосредственно на этапе выполнения, уже после всех валидаций и промежуточных обработок (попутно уже нельзя в этом месте вернуть ошибку и ничего не сделать). Именно там и надо фильтровать.
	Ответить \| Правка \| Наверх \| Cообщить модератору