URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131851
[ Назад ]
Исходное сообщение
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимостей в HTTP/2"
Отправлено opennews , 21-Окт-23 23:43 
Опубликован релиз HTTP-сервера Apache 2.4.58, в котором представлено 33 изменения и устранены три уязвимости, две из которых связаны с  возможностью осуществления DoS-атаки на системы, использующие протокол HTTP/2...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59971

Содержание
Сообщения в этом обсуждении
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 00:16 
> Релиз http-сервера Apache

Ух, повеял запашок нафталина из бабушкиного шкафа в далеком детстве.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Абра , 22-Окт-23 00:25 
Либо Вы предлагаете альтернативы, либо очередное голословное заявление
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 00:38 
Ещё скажи что ты про aws, azure и т.д. ничего не слышал. Как там в твоей Кастраме сидится в местечковом НИИ? Интернет какой? Небось adsl 64 килобит?
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 02:49 
>aws, azure

Рука лицо. Конечно же лучше отдаваться на волю корпораций нежели поднять свой сервер. Откуда вы только по вылазили, модные молодежные.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 03:52 
Рукалицо — это в первую очередь про сисадминов локалхоста, вожделеющих «свой сервер». Для остальных это бизнес, ничего личного. Циферки показывают, что в большинстве случаев «свой сервер» обходится дороже, чем грамотная облачная архитектура.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 04:32 
Свой север обходится всегда дороже если это реально сервер, а не игрушка которая включается пару раз в день. Начиная от энергопотребления, необходимости иметь админа который шарит в железе, серверной, заканчивая надёжностью, удобством и аптаймом. Но вот я уверен, что мой коммент местные деды закидают минусами.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 22-Окт-23 09:38 
Ровно до момента, пока тебя не интересует сохранность данных или не надо соблюдать GDPR, например.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено пох. , 22-Окт-23 11:29 
ну вот нет, соблюдать и прочие религиозные обряды как раз правильней передать в оооооблачко (гейропские прекрасно соблюдают, обложились сурами и хадисами и соблюдают, во всю).

К сохранности данных разумеется все это отношения не имеет, только к религии.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено YetAnotherOnanym , 22-Окт-23 11:21 
Куколд (дословно - рогоносец) - человек, добровольно отдающий посторонним что-либо важное, что должно находиться в его исключительном владении.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 13:05 
А кто сказал что данные моих пользователей мне важны?

Они eulu подписали? Подписали.
Там было написано что оно хранится у гугла? Было.
Им что-то не нравится? Пусть переходят к другому поставщику услуг.
Нафиг мне головняк с безопасностью ИХ данных. Если будут проблемы - пусть разбираются с гуглом.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 19:29 
> А кто сказал что данные моих пользователей мне важны?

Аплодирую стоя (без иронии).

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 22-Окт-23 21:03 
И ведь перейдут, лол.
Не, в этой стране не перейдут.
В Европе - запросто. Обгадят на форумах и вообще какaшками закидают.
А в США так и вообще class action можно выловить при особо удачном стечении обстоятельств.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 21:56 
> Не, в этой стране не перейдут.

В этой стране гордые одмины одиночки будут разворачивать свои локалхоты в полной уверенности что они контролируют всё и вся)))

> В Европе - запросто. Обгадят на форумах и вообще какaшками закидают.

Обгадят что? Что у меня storage у гугла или амазона?
Не смеши, там такие отбитые как тут - вымирающий вид.
Наоборот - у гугла есть свой отдел ИБ, а главное - представительства что в ЕС, что в США.
А у мелкой фирмы что? Пара васянов-админов? Индийский аутсорс?

> class action

Да неужели))) Если утечка будет по вине гугла - то это будут проблемы гугла.
Я со своей стороны сделал все от меня зависящее.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 23-Окт-23 00:01 
Я понимаю, что альтернативная реальность и розовые пони - это хорошо, но выпади в реальный мир уже.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено User , 23-Окт-23 07:04 
Это в тот, в котором тындекс за утечкуу данных клинетов 20, что ли тысяч заплатил?
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 23-Окт-23 09:13 
Не, ну реальный мир - это не про эту страну опять же, здесь условно театр одной группы актёров, всё понятно.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 23-Окт-23 10:00 
При чем тут альтернативная реальность? Давай тогда пруфы когда за взлом дают реальные сроки.
За последний год-два была куча больших утечек, там же наверняка есть пара судебных дел, не так ли?))
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 23-Окт-23 12:20 
Именно за взломы - да пожалуйста, https://www.wsj.com/world/russia/russian-hacker-sentenced-to...

Если мы говорим о компаниях и утечках, можно вот сюда например: https://www.csoonline.com/article/567531/the-biggest-data-br...

Дальше, надеюсь, вас в гугле ещё там не забанили?

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Анонин , 23-Окт-23 16:25 
Что-то мне кажется, мы о разных вещах говорим.
Напомню, что изначально в треде предложили разворачивать инфру в облаках типа aws, azure, gcloud и тд, вместо разворачивания и поддержки своего. На что оппоненты возразили, что это "отдаваться на волю корпораций" и прочий булщит.

Какой смысл кидать ссылку на wsj, если там дали срок тому КТО взламывал, а не тому, КОГО взломали?

По второй ссылке
- китайцы штафонули китайцей... ну хз, может они своему майору ключи не дали и за это их наказали
- амазон нарушил GDPR
- Equifax не пропатчил свой апатч, правда другой, но все равно хехе)))
- GDPR
- GDPR
- у остальных тоже или GDPR или своя инфра

Но нет ни одного примера чтобы взломали поставщика услуг, а штраф пришел фирме, которая там хранила данные.

PS: что гугл клауд, что авс - gdpr complient
https://cloud.google.com/privacy/gdpr
https://aws.amazon.com/compliance/gdpr-center/?nc1=h_ls


"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 23-Окт-23 23:32 
Срок тому, КОГО взломали?
Батенька лютый фантазёр.
Но по голове всё равно не погладят.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 23-Окт-23 12:26 
Мелочёвка по понятным причинам в крупные новости не попадает.
Но если вы в Европе вот так на голубом глазу суду скажете, что GDPR нарушен не вами, а гуглом, потому что _вы_ приняли решение данные в гугле держать - я вам дальше в рамках процесса не позавидую.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 23-Окт-23 12:28 
[конкретно у нас сейчас вообще 100% политика на локализацию данных, что меня несказанно радует - все идеи отдельных товарищей на облачка зарубились полностью]
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Анонин , 23-Окт-23 16:27 
Ну удачи, думаю нам больше не о чем говорить.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 04:39 
Если ты такой уж нефтяной магнат и политик топ уровня, что аж не боишься западных корпораций, найди местную со скрепами.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 07:27 
> нежели поднять свой сервер

Лет 15 назад это было бы круто. Сейчас к собственному серверу полагается иметь отдел ИБ со специалистами, который не каждая корпорация потянет. Поэтому - только аутсорсинг. К сожалению, т.к. "поиграться" не удастся.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 08:28 
Облачный стэк к твоему неумению настраивать вэб-сервер никак не относится. В конечном счёте "облака" в значительной части построены на всём том же, что доступно локально. А если ты не разрабатывал никогда ничего в жизни, а сразу "мне всё в облако", особенно IoT, то ты тот ещё прыщеносец - иди на другие курсы, там тебе ещё что-то продадут
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено лютый арчешкольник... , 22-Окт-23 09:55 
>скажи что ты про aws, azure и т.д. ничего не слышал

что мешает любителям нафталина гонять апача в абажурных авс? )

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено _ , 23-Окт-23 04:12 
Естественно ничего не мешает. Даже больше скажу - там апача даааалеко не нуль. (И да - я и сам офигел сколько 8-о )
Но откуда это знать салагам? :-) Ониж думают что там "что то другое" а не просто чужой контупер :)
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено User , 23-Окт-23 08:28 
А чем мне aws\azure поможет, если росатомные датасатанисты в клювике принесли аналоговнету на astra linux -apache + mod_php - postgres?
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Ilya Indigo , 22-Окт-23 12:10 
На N начинается, на X заканчивается, запамятовал, очень длинное название и про него мало кто знает, он ужасно редкий.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено OpenEcho , 22-Окт-23 13:24 
> На N начинается, на X заканчивается, запамятовал, очень длинное название и про него мало кто знает, он ужасно редкий.

Не боись, он скоро укоротится в названии до F5

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено _ , 23-Окт-23 04:14 
Бросить раскрученный trademark(tm) ?!?!?
Да за такое и партбилет на стол можно!
:-D
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 23-Окт-23 00:04 
Не вставать колом из-за модулей уже умеет? Динамику внутрь навесили, или только FCGI?
Ну и нафиг он такой красивый нужен? Для прокси есть haproxy, для всего остального - апач.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено _ , 23-Окт-23 04:15 
Девушки бывают разные (С) Норот
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 00:32 
Всех недалеких хайпажоров хотел спросить, вас апач в какое место укусил?
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 00:39 
Да ни в какое. Нормальная вещь была. Ключевое БЫЛА. Лет 15-20 назад. На пороге вообщет 2к24
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено leap42 , 22-Окт-23 05:28 
А что, в http завезли что-то новое, чего в Апачи нет (да, это читается именно так)? Проблема сабжа не в возрасте, а в конфигах, которые придумали кальмары для осьминогов, неоптимальных (для перфы) дефолтах и общей громоздкости в архитектуре.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Вася , 22-Окт-23 06:43 
http скорее просто увезли, если ты об этом. Зато привезли парочку новых https
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 07:35 
> Зато привезли парочку новых https

Вот тут поподробнее. Если на внутреннем сервере мы делем https, то каким-то образом нужно создать дыру наружу для этого самого s. Ошибаюсь? Да, и при каждом обращении к серверу будет обращение к удостоверяющему центру. Который может внезапно :) стать не доступным. Нет, конечно можно использовать как бы типа госсертификат. Но тогда вообще какой смысл в https?

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Вася , 22-Окт-23 08:40 
>> Зато привезли парочку новых https
> Вот тут поподробнее. Если на внутреннем сервере мы делем https, то каким-то
> образом нужно создать дыру наружу для этого самого s. Ошибаюсь? Да,
> и при каждом обращении к серверу будет обращение к удостоверяющему центру.
> Который может внезапно :) стать не доступным. Нет, конечно можно использовать
> как бы типа госсертификат. Но тогда вообще какой смысл в https?

на вопросы про "внезапно" ответ может быть один:
почему ты мне задаешь вопросы, которые решаются административно?
я что ли хочу следить за тобой в интернете 24х7 или слабовик с комплексом бога?
единственное, как тут можно противостоять - это НЕ помогать. Либо s с доверенными сертификатами, либо никак.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено fi , 22-Окт-23 12:23 
> Да, и при каждом обращении к серверу будет обращение к удостоверяющему центру

Насколько нужно быть ниже плинтуса чтоб писать такую чушь.  так и проситься — «Аноним порол чушь, она визжала» :DDDDDDDDDD

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Tron is Whistling , 22-Окт-23 09:40 
Ну привезли и привезли. Связка haproxy->apache через доверенную сеть позволяет не париться по поводу того, что там ещё снаружи подвезли. Внутри голый HTTP, снаружи хоть чёрт лысый.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено ivan_erohin , 22-Окт-23 09:13 
как только веб-погромисты забьют на .httacces окончательно совсем,
так сразу свежим воздухом и повеет.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено rvs2016 , 28-Окт-23 02:33 
> как только веб-погромисты забьют
> на .httacces окончательно совсем

А эти разве продолжают ещё использовать?
Они ж были нужны тогда, когда раздавались "домашние странички" юзерам, которых не пустишь же внутрь httpf.conf.
Но те времена давно ж лет 25 назад прошли уж.
Или не прошли?! 😲

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено ivan_erohin , 29-Окт-23 07:36 
> А эти разве продолжают ещё использовать?

разумеется !
.htaccess - быстрый метод исправить что-то (в т.ч. заткнуть свеженайденую дырку.),
не лазя в легаси php код, который кое-как работает и не трожь а то сломаешь.

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено ivan_erohin , 01-Ноя-23 09:48 
можно было ответить короче и одним словом: Bitrix !
(тоже дрянь-программа уровня 1С, только вебня).
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено FF , 22-Окт-23 14:19 
А ты что-нибудь сделал такого, что уже годами работает и служит? Такое надо латать хотя бы.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено FF , 22-Окт-23 14:23 
Если все время переписывать под новые модные фреймворки, выходящие раз в квартал с новым API, то новым будет как раз некогда заниматься.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено FF , 22-Окт-23 14:27 
А ещё в том же PHP не нужно качать leaftpad() и isZero() всякие, они там из коробки с документацией.
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено YetAnotherOnanym , 22-Окт-23 11:28 
Апач: *существует и работает*
Аноним Опеннета: Нееееет, вы не можете говорить про Апач в 2k23 году!!!11
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 22-Окт-23 13:23 
Комментатор опеннета: *заходит и комментирует*
YetAnotherOnanym: Неееееет, вы не можете реагировать на существование апача в 2к23 году!11
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено Аноним , 23-Окт-23 20:25 
да нормально апач пашет, любое внутреннее веб-приложение/сервис обслуживает на ура, из коробки вместе с любой обвязкой выбранной
"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."
Отправлено rvs2016 , 28-Окт-23 02:16 
А когда они вернут поддержку FastCGI?