Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы,
opennews (??), 07-Авг-21, (0) [смотреть все]
- Ой, ну надо же, http взломали, как удивительно Нет ,
Аноним (1), 12:32 , 07-Авг-21, (1) –11 //
- Скрыто модератором,
Anonymouse (?), 12:36 , 07-Авг-21, (2) +11 //
- Уродство HTTP 2 таки выстрелило То ли ещё будет с HTTP много, которые вообще не ,
Онаним (?), 12:38 , 07-Авг-21, (3) +1
//
- Так-то выстрелило уродство HTTP1, если почитать новость ,
Аноним (11), 13:08 , 07-Авг-21, (11) +9
//
- Выстрелило уродство трансляции полубинарного уродства SPDY в HTTP ,
Онаним (?), 13:15 , 07-Авг-21, (14) +1
//
- О да, лучше нормальный plain-text HTTP, от которого, правда, все отказались в по,
Аноним (22), 14:53 , 07-Авг-21, (22)
- Да-да-да, стройными колоннами побежали и отказались, никто не стимулировал ,
Michael Shigorin (ok), 19:13 , 07-Авг-21, (30) –10
- Внутри хытыпысы внезапно всё тот же гипертекстовый фидонет ,
Онаним (?), 20:43 , 07-Авг-21, (39)
- То есть, если внутри бинарного кода буквы, то он уже не бинарный Ну тогда и HTT,
Аноним (22), 01:22 , 08-Авг-21, (53)
- Ты не понял SSL при обработке 1 1 разворачивается до исходного протокола, являя,
Онаним (?), 09:16 , 08-Авг-21, (59)
- То есть, если я в SNI напишу левое имя хоста, это никак не повлияет на работу HT,
Аноним (22), 12:27 , 08-Авг-21, (81)
- Нет Только на согласование соединения HTTP внутри декриптится до исходного в лю,
Онаним (?), 13:39 , 08-Авг-21, (105)
- Получается, SNI на практике ни на что не влияет, а значит - вообще не нужен Вот ,
Аноним (22), 14:13 , 08-Авг-21, (114)
- Сфейспалмил SNI к HTTP - ВНЕЗАПНО - не имеет никакого отношения D,
Онаним (?), 19:29 , 08-Авг-21, (123)
- Веб сервак может иметь свое мнение на этот счет И кстати интересно, не вылезет ,
Аноним (-), 04:12 , 09-Авг-21, (129)
- Веб сервак обычно только правильный сертификат подбирает, смотря на SNI ,
Аноним (-), 12:19 , 09-Авг-21, (142)
- Не обязательно См пример на том сайте как это bitbucket делал, там могли бэку ,
Аноним (102), 13:32 , 08-Авг-21, (102)
- Подшивать к TLS можно чего угодно - проблемы ССЗБ шерифа не волнуют Важно то, чт,
Онаним (?), 13:40 , 08-Авг-21, (106)
- А вот из H2 H1 простой трансформацией уже не получить, что и есть источник пробл,
Онаним (?), 13:41 , 08-Авг-21, (107)
- Для преобразования HTTP 2 же в HTTP 1 по сути требуется полная реконструкция, пр,
Онаним (?), 09:17 , 08-Авг-21, (60)
- всех отказали тогда уж не переживай, будет и 3-я, и 4-я волна это же удобно ,
ананим.orig (?), 20:56 , 07-Авг-21, (43)
- Это рукожопость разработчиков прокси ибо такие атаки очевидны и им сразу же нужн,
all_glory_to_the_hypnotoad (ok), 17:03 , 07-Авг-21, (25) +1
//
- Если уж совсем просто - H2 не стоило называть HTTP 2, это не HTTP ,
Онаним (?), 13:43 , 08-Авг-21, (108)
- Вообще-то там текстовость HTTP 1 1 дурят жестко и это проблема HTTP1 А если тот ,
Аноним (-), 12:44 , 08-Авг-21, (88) +3
//
- Т е они одним сплошным потоком байтов слали подряд разные запросы а потом надея,
Аноним (5), 12:42 , 07-Авг-21, (5) –1 //
- они читали много статей где п-делось о страшных и ужастных ЗАДЕРЖКАХ при открыти,
пох. (?), 12:49 , 07-Авг-21, (6) –2 //
- так разве для HTTP 1 0 не открывается новое соединение на каждый запрос или это ,
kissmyass (?), 20:14 , 07-Авг-21, (35) //
- Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная опер,
Онаним (?), 20:43 , 07-Авг-21, (38)
- ну тогда либо прокси должен валидировать HTTP заголовки либо пусть форсит открыт,
kissmyass (?), 21:56 , 07-Авг-21, (47)
- причем и то и другое копеечные операции по сравнению с ожиданием модного-совреме,
пох. (?), 11:05 , 08-Авг-21, (64) –1
- Не, ну там основной идеей вмазывалось мыжыможым статический коньтент подгрузить,
Онаним (?), 11:15 , 08-Авг-21, (65)
- Самое же прекрасное, что у этих же почитателей смузи в итоге статический коньтен,
Онаним (?), 11:16 , 08-Авг-21, (66)
- Не совсем Ведет к выделению ресурсов на сокет в операционке, а закретие соедине,
Аноним (-), 12:48 , 08-Авг-21, (90)
- Ну я как бы в курсе, в практике и 1000 запросов в секунду на динамику - не преде,
Онаним (?), 13:31 , 08-Авг-21, (101)
- Про chunked пожалуй соглашусь, данное счастье требует некоторой аккуратности С д,
Онаним (?), 13:34 , 08-Авг-21, (103)
- Полное вымирание сайтов http - вопрос времени,
Аноним (7), 12:52 , 07-Авг-21, (7) //
- Скрыто модератором,
Аноним (8), 12:57 , 07-Авг-21, (8) –4 //
- Радует пока одно у меня на фронтах немолодёжный haproxy, новый парсер которого ,
Онаним (?), 12:59 , 07-Авг-21, (9) //
- нет ножек ненужно 2 - нет проблемы P S обратить внимание на нашествие в комме,
пох. (?), 13:04 , 07-Авг-21, (10) –1 //
- Я бы им вместо http sip с rtp посоветовал, но жалко бедняжек ,
Онаним (?), 13:13 , 07-Авг-21, (12)
- Фига, пох сам себя, затарил, не в бровь а в глаз ,
Аноним (-), 13:28 , 08-Авг-21, (100) +1
- Переходи на Traefik,
Alexey Chernyavskiy (?), 19:14 , 07-Авг-21, (31) //
- Пасибо, я столько смузи в одно рыло не сожру ,
Онаним (?), 20:40 , 07-Авг-21, (37) +2 //
- тогда переходи на Envoy,
онанимус (?), 23:01 , 07-Авг-21, (48) +1
- Не, там думать надо ,
Аноним (22), 01:20 , 08-Авг-21, (52)
- Когда смузихлёбы добираются до C - у них выходит ещё хуже, чем если бы они на св,
Онаним (?), 09:22 , 08-Авг-21, (61)
- Абсолютно угрёбищный конфиг умноженный на абсолютно угрёбищную документацию - да,
Онаним (?), 09:24 , 08-Авг-21, (62) +1
- Когда-нибудь вы уйдёте в High Load и в такой, где нужны submillisecond ответы от,
anonymous (??), 12:02 , 08-Авг-21, (75)
- Не жрите больше столько, умоляю High Load - это не субмиллисекундные ответы, да,
Онаним (?), 12:12 , 08-Авг-21, (79)
- Но да, раз уж мы заговорили о хайлоудах - я прекрасно знаю как оно у смузихлёбов,
Онаним (?), 12:24 , 08-Авг-21, (80) +3
- У микросервисов есть ряд очевидных плюсов Как то декомпозиция задачи и перевод ,
Аноним (-), 13:25 , 08-Авг-21, (97)
- Да, большой монолит сложнее поддерживать Но жесть в том, что менять рост сложно,
Онаним (?), 13:48 , 08-Авг-21, (109)
- короче я мыслью по древу растёкся, но основная мысль была в том, что овердекомп,
Онаним (?), 13:49 , 08-Авг-21, (110)
- Программа перестаёт быть простой и маленькой ровно тогда, когда она становится с,
айпони одобряет микросервисы (?), 15:52 , 09-Авг-21, (143) +1
- До декомпозиции на микросервисы была декомпозиция на отдельные взаимодействующие,
www2 (??), 08:20 , 10-Авг-21, (152)
- Это надо внести в луддитско-свитеро-бородные анналы ,
gvx (?), 15:13 , 08-Авг-21, (122)
- Вот только envoy тут не при чем Он - в основном про возможность конфигурировани,
Аноним (22), 12:32 , 08-Авг-21, (84)
- Да и haproxy в рантайме нормально реконфигурится, если уж честно-то Кое-что можн,
Онаним (?), 13:26 , 08-Авг-21, (98)
- Нет Достаточно переконфигурировать хотя бы несколько раз в секунду вполне типи,
Аноним (22), 14:10 , 08-Авг-21, (112)
- s бэкендов серверов в бэкенде , конечно же ,
Аноним (22), 14:10 , 08-Авг-21, (113)
- Раз в секунду Как правило если такое начало требоваться - самое время что-то в к,
Онаним (?), 19:30 , 08-Авг-21, (124)
- А зачем это менять раз в секунду Чтобы прострелить себе пятку, а потом продать ,
Аноним (-), 04:59 , 09-Авг-21, (136)
- Могли бы и не повторять, выше же написаноЕсли что-то по своей сложности превосхо,
Аноним (22), 12:35 , 08-Авг-21, (85)
- В новости про атаки - примерно так Чем сложнее и оверинженернутее нечто, тем бо,
Аноним (-), 13:21 , 08-Авг-21, (96) +1
- Примерно да Оверинжениринг и овердекомпозиция кажутся простыми на этапе первичн,
Онаним (?), 13:51 , 08-Авг-21, (111)
- Но эволюция, а впоследствии - и прогресс, почему-то упорно порождают все более у,
Аноним (22), 14:21 , 08-Авг-21, (116) –1
- Оно именно что не по сложности превосходит, а по угрёбищности То есть мнимая сло,
Онаним (?), 13:28 , 08-Авг-21, (99)
- Охренеть, плюсовики хайпуют Явно покусаные гуглем - include stdbullshit и да,
Аноним (-), 13:12 , 08-Авг-21, (92) –2
- Поздравляю вас с этим, и рекомендую немедленно обновитьсяhttps git haproxy org,
Аноним (22), 19:10 , 17-Авг-21, (156) +1 //
- У меня за фронтом такой же не менее немолодёжный H1, поэтому меня эти пляски с у,
Онаним (?), 20:05 , 17-Авг-21, (157)
- Хотя конечно да, есть определённый мысли вообще убрать ALPN h2 с фронтов, ибо не,
Онаним (?), 20:06 , 17-Авг-21, (158) //
- Оверинженеринг в действии,
Отражение луны (ok), 13:14 , 07-Авг-21, (13) +1 //
- Ну так нгингс подвержен или нет Где исправления ,
Аноним (15), 13:19 , 07-Авг-21, (15) +1 //
- Теперь все будут топить за закопать http и перейти на websocket ,
Аноним (24), 15:52 , 07-Авг-21, (24) //
- Не волйнутесь, сейчас Гугл быстренько придумает HTTP3 ой, нет, наверное уже HT,
Kuromi (ok), 17:35 , 07-Авг-21, (27) +3 //
- KeepAlive Off на бэкенде спасет отца русской демократии ,
Alex_K (??), 21:16 , 07-Авг-21, (44) –3 //
- HTTP2 нинужно,
vitalif (ok), 02:04 , 08-Авг-21, (54) –1
- javascript макак как обычно взламывают даже без использования уязвимостей неправ,
Аноним (70), 11:29 , 08-Авг-21, (70) –1 //
- А тут, внезапно, не в js макаках проблема ,
Аноним (-), 13:16 , 08-Авг-21, (94) //
- Ну, если бы они осилили http2 createServer, то последствий их рукоблудия перечис,
Аноним (22), 14:26 , 08-Авг-21, (118)
- Как раз в них Фронт и бэк - две группы разработки, работающие в тесном сотрудни,
Аноним (147), 14:31 , 08-Авг-21, (119) //
- вебня такая вебня,
Аноним (145), 16:23 , 09-Авг-21, (145) +1
- Надо было на расте писать ,
Аноним (146), 20:44 , 09-Авг-21, (146) –1 //
- В соседнюю ветку загляни, там в твоём расте дыреней наделали мама не горюй ,
Аноним (148), 22:17 , 09-Авг-21, (148) +1
- Точняк, надо запилить что-нибудь с этой уязвимостью и на хрусте Нужно больше CV,
Аноним (-), 22:22 , 09-Авг-21, (149) –1
- Это называется не уязвимость , а заставили обезьян веб проектировать Бэкенду ,
Gogi (??), 00:14 , 10-Авг-21, (150) –1 //
- Мамкины иксперты даже не поняли о чем идет речь в статье, говорят за JS, Rust ,
Gena ANTG (ok), 17:29 , 11-Авг-21, (155)
- А почему бы просто не общаться с бэкендами по http 2 Ведь это бинарный протокол,
Аноним (164), 09:44 , 18-Авг-21, (163)
- Если в HTTP 2 указана длина, зачем допускается Content-Length Даже если это не ,
Аноним (166), 22:44 , 22-Дек-23, (165)
1,3,5,7,9,13,15,24,27,44,54,70,145,146,150,155,163,165
|
Вариант для распечатки
(ok), 07-Авг-21, 19:13 
