https://opennet.ru/openforum/vsluhforumID3/130907.html Некоторые серверы с nginx остаются уязвимы для техники Nginx Alias Traversal, которая была предложена на конференции Blackhat ещё в 2018 году и позволяет получить доступ к файлам и каталогам, размещённым вне корневого каталога, заданного в директиве "alias". Проблема проявляется только в конфигурациях с директивой "alias", размещённой внутри блока "location", параметр которой не завершается на символ "/"...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59383<br> https://opennet.ru/openforum/vsluhforumID3/130907.html#146 Mon, 10 Jul 2023 14:20:26 GMT &gt; да вот это как раз максимум и есть. Только реееедкий российский вуз <br>&gt; дойдет до общего вида полей Галуа и как эти поля определяются.<br><br>У россиян те вузы которые до Галуа доберутся - будут страшно далеки от рассказов как сие на base-2 математику нормально маппить, с какими параметрами и почему - так. И не расскажут про специфичные фокусы применяемые в реальных реализациях. А где расскажут про эти фокусы врядли даже заикнутся про Галуа.<br><br>И вот есть высокопарные теоретики которые ниипут как применять - и овощи которые ниипут как оно работает. Не понимаю как при этом хоть что-то осмысленно инженерить можно. Ну я вот хотел научиться этому и читанул CS какого-то амеровского вуза + сорцы, но российские ВУЗы тут не при чем.<br><br>&gt; А без этого общего - частный случай рида с соломоном ты просто <br>&gt; не сможешь понять.<br><br>Пожалуй. Поля галуа и математика в этом закоулке может порвать неподготовленный мозг. Но есть и особенности как выбрать параметры и ЭФФЕКТИВНО транслировать в возможности реальных процессоров. Этим о https://opennet.ru/openforum/vsluhforumID3/130907.html#145 Mon, 10 Jul 2023 13:24:17 GMT &gt; Она не взята, она всего лишь может совпадать.<br><br>Не просто может - но и совпадает вот. И это вполне легитимная конструкция.<br><br>&gt; От того, что сайт переехал на винду<br><br>В винде вон та семантика тоже IIRC работает.<br><br>&gt; или на молодёжно-экспериментальную ОСс базой данных вместо <br>&gt; привычной файловой системы,<br><br>Из такого припоминается всерьез разве что PalmOS - и сервировать с ЭТОГО файло никто всерьез и не пытался даже. Да и модно-молодежным этот кусок фэйла назвать сложно. Остальные вообще жесткая маргинальщина и вот это - их проблемы. Если они как-то вывесят posix api они должны будут ../ как-то обрабатывать. Не вывесят - останутся без софта под чудо ос, уж как им удобнее.<br><br>&gt; - УРЛ сайта никак не изменится. Но даже если на сервере стоит линукс, эти имена<br>&gt; каталогов и файлов не обязаны присутствовать на сервере.<br><br>Не обязаны - но в случае статики удобно. А каким-нибудь sendfile() еще и эффективно на уровне оси. Но вы конечно можете вместо этого с базы вытаскивать - заодно RPS и прогрузку 100500гигабит инт https://opennet.ru/openforum/vsluhforumID3/130907.html#144 Mon, 10 Jul 2023 11:09:26 GMT &gt; 1) Если языку нужен статический анализатор (правила, не определены в самом языке) <br>&gt; -- это плохой язык.<br><br>Ну конечно! Давайте вон тем раздолбайским апликушникам вкатим набор правил уровня MISRA или каких-нибудь авиаторов, посмотреть как им такое программирование вообще будет и насколько их хватит. One size fits all же, да? :)<br> https://opennet.ru/openforum/vsluhforumID3/130907.html#143 Mon, 10 Jul 2023 10:25:37 GMT &gt; Как-то так. В российских вузах как максимум дадут грузню обшего вида<br><br>да вот это как раз максимум и есть. Только реееедкий российский вуз дойдет до общего вида полей Галуа и как эти поля определяются.<br><br>А без этого общего - частный случай рида с соломоном ты просто не сможешь понять.<br>Только реализовать готовый алгоритм без понимания почему он именно вот такой (рад за тебя если ты так не делал)- ну да, ксоры-то все умеют. Это и привело в начале нулевых к неработающему в линуксе (а как выяснилось и вообще у всех, потому что копипастили уже даже не алгоритм а реализацию) raid6. Ашипочка вcpaлась в алгоритмик-то.<br><br>И вот внезапно у программиста Sun - хватило тогда образования (и интуиции) понять что таки ошибка, и где-то тут что-то не ладно, не может тут быть так все просто.<br><br>А я вот г-но программист - и разобраться в гораздо более примитивной программе - не смотря на помощь клуба, не смог. А математическое образование у меня, увы, как у всех.<br><br> https://opennet.ru/openforum/vsluhforumID3/130907.html#142 Mon, 10 Jul 2023 10:18:29 GMT &gt; вообще такое этот рид с соломоном и с чем их едят <br><br>Ну да, пожалуй.<br><br>&gt; - требуемую для понимания математику не знают даже преподаватели универа. И <br>&gt; на мехмате, а не на вмк. (те кто знали - вероятно, давно в MIT преподают,<br>&gt; или пиццей торгуют)<br><br>Как-то так. В российских вузах как максимум дадут грузню обшего вида, нужную в таком виде примерно нигде. Как ЭТО переделать на реально существующие компьютеры, работу с битами или байтами, в виде актуальном для компьютеров, МК и проч - придумайте сами. Если не спятите. Потому что надо входить в несколько разных миров под специфичным углом, понимая специфику их всех, препы это ессно не умеют и на ваши вопросы не ответят. А уж какие "практические" параметры в реальных задачах могут волновать - никто не скажет, т.к. в душе не е...т как оно. Вот если курс CS у MIT или кого-то подобного укачать, да еще сорцами по интернету затариться - тогда, конечно...<br><br>&gt; И нет, сам ты это не узнаешь и не найдешь.<br><br>Я об этом не знал, поэтому случайно накодилось что-то такое, https://opennet.ru/openforum/vsluhforumID3/130907.html#141 Sat, 08 Jul 2023 15:22:03 GMT Что отвалите от нас с вашим частным случаем, мы тут глобальные проблемы решаем.<br><br> https://opennet.ru/openforum/vsluhforumID3/130907.html#140 Sat, 08 Jul 2023 15:20:41 GMT Дружище, не хочу тебя огорчать, но в роиськом вузе не расскажут что вообще такое этот рид с соломоном и с чем их едят - требуемую для понимания математику не знают даже преподаватели универа. И на мехмате, а не на вмк. (те кто знали - вероятно, давно в MIT преподают, или пиццей торгуют)<br><br>И нет, сам ты это не узнаешь и не найдешь.<br><br>Этим и отличается нормальное университетское образование от дерьма которым тебя кормят.<br><br>&gt; Я знаю людей которые вообще в вузы не поступали а добились довольно многого в айти в интересных<br>&gt; им областях.<br><br>вовремя съе...вшись с деньгами? Да, так можно. <br>А вот вовремя обнаружить что ВСЯ с-ка современная индус-трия считает raid6 по форумле с ошибкой (т.е. при восстановлении ничего восстановить не получится) - смог только человек с профильным образованием и при этом не продолбавший его нахрен.<br><br>И непоступая в вузы - ХРЕН ты это сможешь повторить.<br><br>И поступив в заборостроительный универ - ТОЖЕ не сможешь.<br><br>Этому не учат на кратких курсах яндекс-такс...ой, вайтивойти. Слишко https://opennet.ru/openforum/vsluhforumID3/130907.html#139 Sat, 08 Jul 2023 03:12:10 GMT Она не взята, она всего лишь может совпадать. От того, что сайт переехал на винду или на молодёжно-экспериментальную ОС с базой данных вместо привычной файловой системы, - УРЛ сайта никак не изменится. Но даже если на сервере стоит линукс, эти имена каталогов и файлов не обязаны присутствовать на сервере.<br><br>И уж конечно же семантика УРЛ никак не подразумевает выхода за границы корня сайта и возможность получения любого файла с сервера. Ибо - ещё раз - УРЛ не имеет никакого отношения к файловой системе сервера.<br> https://opennet.ru/openforum/vsluhforumID3/130907.html#138 Fri, 07 Jul 2023 21:47:42 GMT "Только для них не ставят псевдонимы."<br>Именно.<br>Их ставят как раз для прямого доступа к файлам (обычно это что-то большое) лежащим в стороне от вебни.<br><br>Поэтому и стоит такой случай проверять и фейлиться или хотя бы выдавать предупреждение что оно может работать совсем не так как показалось.<br><br>Но нет. Изобретатель nginx изобретал его под свой локалхост и больше ни под что. А все дальнейшие улучшизмы не смеют затрагивать корней.<br><br>Поэтому пока "if is evil" и тому подобная мерзость не будет заменено на "мы переработали структуру конфига и им снова можно пользоваться без чорной магии" - надо просто выбирать другой софт. И уже много-много лет назад.<br>