| |
| 2.28, Аноним (28), 18:05, 07/08/2021 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Атака может быть использована для подстановки вредоносного JavaScript-кода
Ой, ну надо же отключать JS.
| | |
| |
| 3.83, Аноним (-), 12:32, 08/08/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Идея хорошая, но вебмакаки понаделали js-only крапа. И кстати это не поможет от приколов когда бэкэнд сливает вам ответ для совсем другого юзера, например. Так что кто-то может стырить кучу инфо о посторонних юзерах и их запросах. Судя по описанию - при удачном раскладе могут даже номера чужих кредиток или какие-нибудь секретные коды присылать на раз.
p.s. LOL! LOL! LOL! LOL! TROLL! TROLL! TROLL! TROLL!
Исследователей с их рыготой самих в процессе поимели, как и пентестеров с этим нечто :)
We have updated Burp Suite's embedded browser to fix a clickjacking-based remote code execution bug in Burp Suite
| | |
|
| |
| |
| 4.71, And (??), 11:53, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Скорее всего проблема в помойке node репо библиотек для JS и культуре коммерческой разработки.
За что чмырят JS, это часто даёт похожее на сабж: дописали "клёвую" дублирующую функциональность не имея опыта и желания. Дубляж функциональности и разделение/трансформирование старого-нового - хороший и известный признак для поиска уязвимости.
| | |
| |
| 5.86, Аноним (-), 12:37, 08/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А может быть проблема в том что не надо код писать ж@пой, качая половину интернета, от хрен знает кого, писаного хрен знает как? А еще неплохо бы использовать мозг при написании программ.
Это касается вообще любого ЯП. И даже как видим не только яп. Упомянутая проблема на ЯП не завязана и возникает из-за гейтования протоколов. Свойства протоколов довольно разные, и на их стыке случается весьма интересное взаимодействие, когда первые понимают вторых не так как задумано. Это очень старый класс багов, не очень известный, но потенциально очень мощный по эффектам. Подобный класс багов позволяет обмануть системы на тему того с кем они имеют дело и левай Вася может быть на раз принят за админа, например.
| | |
|
|
|
|
| 1.3, Онаним (?), 12:38, 07/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Уродство HTTP/2 таки выстрелило.
То ли ещё будет с HTTP/много, которые вообще не HTTP.
| | |
| |
| |
| 3.14, Онаним (?), 13:15, 07/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Выстрелило уродство трансляции полубинарного уродства SPDY в HTTP.
| | |
| |
| 4.22, Аноним (22), 14:53, 07/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
О да, лучше нормальный plain-text HTTP, от которого, правда, все отказались в пользу HTTPS, в котором из текста только вызов метода CONNECT.
| | |
| |
| |
| 6.87, Аноним (-), 12:39, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
А кто стимулировал? Серваки заимплементившие фичу и повышение скорости загрузки сайтов? Вот уж зло вселенское.
| | |
| |
| 7.120, Аноним (22), 14:32, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Серваки заимплементившие фичу и повышение скорости загрузки сайтов?
Verisign, без вопросов отбирающий домены у оппозиционных СМИ.
Cloudflare, который немного навязчиво продвигает свои услуги (на предыдущей работе нам сначала прилетела DDoS-атака, а через пару дней - коммерческое предложение от этой милой компании).
| | |
| |
| 8.128, Аноним (-), 04:09, 09/08/2021 [^] [^^] [^^^] [ответить] | +/– | Это как И что этим СМИ мешает хостить сайты где-нибудь подальше от такой фирмы,... большой текст свёрнут, показать | | |
|
|
|
| |
| 6.53, Аноним (22), 01:22, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
То есть, если внутри бинарного кода буквы, то он уже не бинарный? Ну тогда и HTTP/2 тоже небинарный (аки гендер у гражданина свободной страны).
| | |
| |
| 7.59, Онаним (?), 09:16, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ты не понял.
SSL при обработке 1:1 разворачивается до исходного протокола, являясь только трансформацией.
| | |
| |
| 8.81, Аноним (22), 12:27, 08/08/2021 [^] [^^] [^^^] [ответить] | +/– | То есть, если я в SNI напишу левое имя хоста, это никак не повлияет на работу HT... текст свёрнут, показать | | |
|
| 7.60, Онаним (?), 09:17, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Для преобразования HTTP/2 же в HTTP/1 по сути требуется полная реконструкция, простой трансформации нет - и как раз это и вызывает обсуждаемую проблему.
| | |
| |
| 8.72, And (??), 11:56, 08/08/2021 [^] [^^] [^^^] [ответить] | +1 +/– | Именно А разрабы попытались таки не делать нормально и попробовали частично 2 о... текст свёрнут, показать | | |
| |
| 9.74, Онаним (?), 12:00, 08/08/2021 [^] [^^] [^^^] [ответить] | +/– | Ну да, казалось бы должна была быть просто трансформация, потому что разработан... текст свёрнут, показать | | |
|
|
|
|
| 5.43, ананим.orig (?), 20:56, 07/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> plain-text HTTP, от которого, правда, все отказались в пользу HTTPS
всех отказали тогда уж.
не переживай, будет и 3-я, и 4-я волна.
это же удобно.
| | |
|
|
| |
| 4.40, Онаним (?), 20:44, 07/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Это рукожопость разработчиков бинарного протокола, которые решили, что те же CRLF в хедерах теперь новая нормальность. С фига бы.
| | |
| |
| 5.41, Онаним (?), 20:46, 07/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
(упреждая: угу, бинарному протоколу фиолетово. но забыли о сути HTTP - передача собственно текстовых сообщений, в которых переводы строк - неизбежное зло. за бинарным протоколом ещё серверы этих текстовых сообщений сидят, которым тот же CRLF внутри одного хедера тоже не особо спёрся)
| | |
| |
| 6.89, Аноним (-), 12:45, 08/08/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Для эпичного ламо намекну: там упомянуты варианты этих атак работающие на чистом HTTP/1, который они не первый год практикуют. В случае HTTP/2 они просто попробовали по аналогии - и это прокатило, с превышением.
| | |
|
|
|
|
| 2.88, Аноним (-), 12:44, 08/08/2021 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Уродство HTTP/2 таки выстрелило.
Вообще-то там текстовость HTTP/1.1 дурят жестко и это проблема HTTP1.
А если тот сайт еще и почитать, да еще используя мозги, можно узнать, что они там оказывается рядом атаковали и чистый HTTP/1.1 похожими методами, вообще без участия HTTP/2. Используя разное понимание фронтом и бэком длины запроса, например. Что в HTTP/1 сделано довольно дурно и дальше кому-то что-то совершенно левое в запрос врезается, потому что бэк уверен что все уже сжевал, а там какая-то добавка, которая может быть принята за новый запрос например, или префикс к нему.
Последнее позволяет пришить совершенно постороннему лоху какой-нибудь интересный редирект на свой сервак, а он какое-нибудь инфо утечет. Или скрипт ему подгрузить. Вариантов много.
| | |
| |
| 3.104, Онаним (?), 13:36, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
H2 на бэках конкретно у нас упорно не приживается.
Основная причина - возможность в пределах одного коннекта открыть овердохера произвольных процессов/тредов в динамике, это всё приходится зажимами лимитировать, и честно говоря - проще вынести на фронт, вынеся все лимиты на стык, где потоки уже преобразованы в последовательные на H1.
| | |
| |
| 4.131, Аноним (-), 04:37, 09/08/2021 [^] [^^] [^^^] [ответить] | +/– | Жирные корпы тоже, вот, думали сэкономить Некоторые даже конопатили эти CVE раз... большой текст свёрнут, показать | | |
|
|
|
| 1.5, Аноним (5), 12:42, 07/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Т.е. они одним сплошным потоком байтов слали подряд разные запросы а потом надеялись что смогут разбить их обратно на части?
Они похоже не читали статей где говорится о важности выбора разделителя и что самым надёжным будет разделять записи через набор символов !йух! .
| | |
| |
| 2.6, пох. (?), 12:49, 07/08/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
они читали много статей где п-делось о страшных и ужастных ЗАДЕРЖКАХ при открытии tcp сессии (особенно в рамках одного и того же локалхоста).
И героически поебдили ненужную проблему.
| | |
| |
| 3.35, kissmyass (?), 20:14, 07/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
так разве для HTTP 1.0 не открывается новое соединение на каждый запрос?
или это особенность всякие reverse-proxy?
| | |
| |
| 4.38, Онаним (?), 20:43, 07/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная операция, на самом деле. Ну и 1.0 давно почит, в 1.1 в пределах одного соединения может быть несколько операций.
| | |
| |
| 5.47, kissmyass (?), 21:56, 07/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная операция,
> на самом деле. Ну и 1.0 давно почит, в 1.1 в
> пределах одного соединения может быть несколько операций.
ну тогда либо прокси должен валидировать HTTP заголовки либо пусть форсит открытие нового соединения, странно что такие ребята типа nginx проморгали
| | |
| |
| 6.63, Онаним (?), 09:49, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Многие проморгали, потому что гугели свой SPDY в виде H2 запихивали в индустрию ломиком, не оставляя времени на масштабное тестирование. Следующая итерация неадекватизма под названием QUIC - на подходе, и её пытаются впихнуть ещё быстрее, чем H2. На деле же оба по сути не нужны, keepalive от 1.1 вполне достаточно. За спидами-кваками лежит только одно: желание сократить число открытых портов на фронтах у обленившихся.
| | |
| |
| 7.73, anonymous (??), 11:57, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Дело тут не в открытых сессиях (сессии надо и в QUIC отслеживать, то есть это не даёт экономии). Дело именно в задержках. И да, QUIC действительно позволяет сократить задержки. Особенно у всяких мобильных пользователей.
| | |
|
|
| 5.64, пох. (?), 11:05, 08/08/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
причем и то и другое копеечные операции по сравнению с ожиданием модного-современного gpu рендеринга и тонны скриптов.
| | |
| |
| 6.65, Онаним (?), 11:15, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не, ну там основной идеей вмазывалось "мыжыможым статический коньтент подгрузить асинхронно пока сервер кушает". А второй коннект открыть в походе за статическим контентом - это уже всё, немодномолодёжно, обязательно надо ещё что-то внутри протокола херовертить.
| | |
| |
| 7.69, пох. (?), 11:26, 08/08/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> А второй коннект открыть
ЗАДЕРЖКИ!!!! ("уминядвепалоски!")
(то что они миллисекундные на фоне _секунд_ как минимум на собственно скачивание - смузижорам неведомо - у них внутри гугля везде уже 100G прямо до ноута обезьянки-разработчика)
| | |
| |
| 8.132, Аноним (-), 04:41, 09/08/2021 [^] [^^] [^^^] [ответить] | +1 +/– | И тем не менее, кпд канала может получиться довольно издевательским Особенно ес... текст свёрнут, показать | | |
|
|
| 6.66, Онаним (?), 11:16, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Самое же прекрасное, что у этих же почитателей смузи в итоге статический коньтент ныне размазан по десятку CDN'ов, и одним коннектом они так и так не обходятся.
| | |
| |
| 7.68, пох. (?), 11:24, 08/08/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
и вот там уже задержки вполне видны, поскольку это новая tls сессия на каждый jquery.js с каждого особенного cdn
(хотя, разумеется, они ничто по сравнению с тем что начнется, когда оно его наконец-то скачает и запустит)
| | |
|
|
| 5.90, Аноним (-), 12:48, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная операция,
Не совсем. Ведет к выделению ресурсов на сокет в операционке, а закретие соединения далеко не мгновенное и при большом количестве запросов сокеты ожидающие закрытия могут основательно подвыжрать лимит числа файлов/сокетов, пригрузить conntrack, если он есть, etc.
> пределах одного соединения может быть несколько операций.
Да, там рядом клевые примеры что с chunked можно делать. И как можно фронты и бэки на-о-бывать. Даже без HTTP2 вообще, чего уж.
| | |
| |
| 6.101, Онаним (?), 13:31, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну я как бы в курсе, в практике и 1000 запросов в секунду на динамику - не предел.
Другое дело, что там, где начинается хайлоуд, это всё по уму горизонтально масштабируется, и не надо извращаться с мультиплексированием внутри простого как доска протокола.
| | |
| |
| 7.133, Аноним (-), 04:47, 09/08/2021 [^] [^^] [^^^] [ответить] | +/– | Теоретически да Практически - установка и завершение TCP все же не халявные, и ... большой текст свёрнут, показать | | |
|
| 6.103, Онаним (?), 13:34, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Про chunked пожалуй соглашусь, данное счастье требует некоторой аккуратности.
С другой стороны то, что с H2->H1 происходит, рядом с chunked не лежало и не ползало.
| | |
| |
| 7.134, Аноним (-), 04:48, 09/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Про chunked пожалуй соглашусь, данное счастье требует некоторой аккуратности.
> С другой стороны то, что с H2->H1 происходит, рядом с chunked не
> лежало и не ползало.
Это судя по виду лишь усиленная и заапгрейженая версия атак которые они на HTTP/1 практиковали, используя разное видение мира фронтом и бэком и там.
| | |
|
|
|
|
|
|
| |
| 2.91, Аноним (-), 12:56, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Полное вымирание сайтов http - вопрос времени
Они как умные клавы решили смухлевать и прицепить HTTP/1 бэк малой кровью. При том на этом погорели весьма жирные конторы.
| | |
|
| 1.9, Онаним (?), 12:59, 07/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Радует пока одно: у меня на фронтах немолодёжный haproxy, новый парсер которого по-человечески разбирает и перебирает запросы перед отдачей в бэкенды. В старом парсере до 2.0.6 были проблемы, ну так старый парсер для h2 в здравом уме юзать было сложно.
| | |
| |
| 2.10, пох. (?), 13:04, 07/08/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
нет ножек (ненужно/2) - нет проблемы.
P.S. обратить внимание на нашествие в комменты м-ков "экспертов" борцунов с http.
| | |
| |
| 3.100, Аноним (-), 13:28, 08/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> P.S. обратить внимание на нашествие в комменты м-ков "экспертов"
Фига, пох сам себя, затарил, не в бровь а в глаз.
| | |
|
| |
| |
| |
| 5.61, Онаним (?), 09:22, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Когда смузихлёбы добираются до C - у них выходит ещё хуже, чем если бы они на своих гошечках писали.
Ну и вообще, какой смысл на что-то переходить, если haproxy отлично справляется со своей задачей? Модность и молодёжность? Всякие борингэсэсэли, люфты и прочее нечитаемое? См. выше - очень радует, что не модно, и не молодёжно.
| | |
| |
| 6.82, Аноним (22), 12:30, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> haproxy отлично справляется со своей задачей
Разработчики haproxy с вами не согласятся, судя по тому, что они пилят dataplaneapi (попытка сделать аналог envoy из haproxy, обмазанного дендрофeкальными материалами).
| | |
|
| 5.62, Онаним (?), 09:24, 08/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Абсолютно угрёбищный конфиг умноженный на абсолютно угрёбищную документацию - да, это то, о чём я всю жизнь мечтал. По ним можно примерно предположить, что там внутри в архитектуре этого барбершопа.
| | |
| |
| 6.75, anonymous (??), 12:02, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Когда-нибудь вы уйдёте в High Load и в такой, где нужны submillisecond ответы от сервиса, и тут вы поймёте почему haproxy вам уже не хватает. И почему TCP вам не подходит by design.
| | |
| |
| 7.79, Онаним (?), 12:12, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не жрите больше столько, умоляю. High Load - это не субмиллисекундные ответы, далеко нет.
И если у вас для нормальной работы сервиса требуются субмиллисекундные ответы - я бы уже посоветовал начать руковыпрямительную машинку собирать.
| | |
| 7.80, Онаним (?), 12:24, 08/08/2021 [^] [^^] [^^^] [ответить] | +3 +/– | Но да, раз уж мы заговорили о хайлоудах - я прекрасно знаю как оно у смузихлёбов... большой текст свёрнут, показать | | |
| |
| 8.97, Аноним (-), 13:25, 08/08/2021 [^] [^^] [^^^] [ответить] | +/– | У микросервисов есть ряд очевидных плюсов Как то декомпозиция задачи и перевод ... текст свёрнут, показать | | |
| |
| |
| 10.135, Аноним (-), 04:55, 09/08/2021 [^] [^^] [^^^] [ответить] | +/– | Он склонен превращаться в большое месиво Которое к тому же скорее всего больше ... большой текст свёрнут, показать | | |
|
| 9.152, www2 (??), 08:20, 10/08/2021 [^] [^^] [^^^] [ответить] | +/– | До декомпозиции на микросервисы была декомпозиция на отдельные взаимодействующие... большой текст свёрнут, показать | | |
|
|
| 7.84, Аноним (22), 12:32, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Когда-нибудь вы уйдёте в High Load и в такой, где нужны submillisecond ответы от сервиса, и тут вы поймёте почему haproxy вам уже не хватает. И почему TCP вам не подходит by design.
Вот только envoy тут не при чем. Он - в основном про возможность конфигурирования в runtime. Пожалуй, один из двух прокси-серверов, которые это реально умеют (второй - caddy).
| | |
| |
| 8.98, Онаним (?), 13:26, 08/08/2021 [^] [^^] [^^^] [ответить] | +/– | Да и haproxy в рантайме нормально реконфигурится, если уж честно-то Кое-что мож... текст свёрнут, показать | | |
|
|
| 6.85, Аноним (22), 12:35, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Абсолютно угрёбищный конфиг умноженный на абсолютно угрёбищную документацию
Могли бы и не повторять, выше же написано
> Не, там думать надо.
Если что-то по своей сложности превосходит табуретку и не может быть осмыслено одной извилиной - всё, атас, "угребищность" и другие нехорошие слова.
| | |
| |
| 7.96, Аноним (-), 13:21, 08/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
В новости про атаки - примерно так. Чем сложнее и оверинженернутее нечто, тем больше там будет багов, включая и вулны. Грубо говоря, если вы везде и всюду будете летать исключительно на новой, клевой ракете - ваше прибытие, конечно, будет вызывать фурор. Но не долго. В силу сложности конструкции и малоизученности проблем ваша удача довольно быстро закончится. С другой стороны, сидение на табуретке не грозит развеянием праха в атмосфере...
| | |
| |
| 8.116, Аноним (22), 14:21, 08/08/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Но эволюция, а впоследствии - и прогресс, почему-то упорно порождают все более у... текст свёрнут, показать | | |
| |
| 9.137, Аноним (-), 05:05, 09/08/2021 [^] [^^] [^^^] [ответить] | +/– | состоящие из простых систем Отказ каждой из которых в отдельности вообще пох... большой текст свёрнут, показать | | |
|
|
| 7.99, Онаним (?), 13:28, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Оно именно что не по сложности превосходит, а по угрёбищности.
То есть мнимая сложность, героически себе созданная, чтобы героически гордиться её преодолением.
| | |
|
|
| 5.92, Аноним (-), 13:12, 08/08/2021 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> тогда переходи на Envoy
Охренеть, плюсовики хайпуют. Явно покусаные гуглем - #include <stdbullshit> и даже, вау, тот укуреный гуглокрап как билдсистема.
| | |
|
|
|
| |
| 3.158, Онаним (?), 20:06, 17/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Хотя конечно да, есть определённый мысли вообще убрать ALPN h2 с фронтов, ибо нефиг.
| | |
|
|
| |
| |
| 3.93, Аноним (-), 13:13, 08/08/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Это как раз недоинженеринг, т.е. когда осилили работу с простым протоколом HTTP/2
> и не осилили бинарно более сложный HTTP/1.x
HTTP/1 вообще более сложен в проверках и sanity check. В том числе и из-за специальной трактовки символов, что ведет к рискам срыва парсинга.
| | |
|
| 2.78, And (??), 12:03, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Оверинженеринг в действии
Больше похоже на идиотизм: тащить части старого протокола в новый протокол. Нарушили инкапсуляцию и огребли. О чём олды даааавно уже понимали.
| | |
| |
| 3.95, Аноним (-), 13:18, 08/08/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Больше похоже на идиотизм: тащить части старого протокола в новый протокол. Нарушили
> инкапсуляцию и огребли. О чём олды даааавно уже понимали.
Они настолько понимали, что по#%ывали даже и чистый HTTP/1.1 используя разное его понимание на границе между фронтом и бэком :P
| | |
| |
| 4.117, Аноним (147), 14:26, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> на границе между фронтом и бэком
Между фронтом и бэком и на ф. и на б. как раз не было знавших и понимавших, или их задавил лидер разработки.
Есть вещи, которые не стоит даже затевать. Но многие непробовали сами результата и соблазняются.
| | |
| |
| 5.141, Аноним (-), 05:28, 09/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Между фронтом и бэком и на ф. и на б. как раз
> не было знавших и понимавших, или их задавил лидер разработки.
Более вероятно что...
1) Это были 2 тотально разные команды, плохо или никак взаимодействующие между собой.
2) В HTTP/1 есть несколько мест которые можно сделать по разному и довольно много мест где можно лохануться в парсинге. HTTP/2 в этом несколько лучше, кстати. Но если его в HTTP/1 перегнать, проблемных мест становится даже больше.
3) Архитект мог быть лох, а безопасТник возможно умел только кошмарить хомячков во имя луны. Вон там красавы, с 3-4 попыток зачинить не смогли местами. То-есть они сами вообще толком не поняли проблему и закостылили конкретное проявление. За что получили еще 3-4 успешных эксплойтирования, обходом конкретной затычки.
| | |
|
|
|
|
| |
| |
| 3.55, Sage (??), 03:32, 08/08/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Проверил на Nginx 1.20 (не включающем правки от 6 июля): заголовок Transfer-Encoding на сервер, указанный в proxy_pass, не отправляется вообще (до nginx доходит, а дальше - не уходит), Content-Length устанавливается в нужное значение, исходя из реального объёма переданных данных. Попытки вклинить перенос на новую строку внутри заголовка приводят к закрытию соединения. Попытки дважды использовать Content-Length - к ошибке 400. Получается, добавленные в 1.21.1 исправления - это ради перестраховки.
| | |
| |
| 4.57, edo (ok), 04:46, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
 чем генерировали запросы? curl'ом у меня не всё получается
| | |
| |
| 5.67, Sage (??), 11:19, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
На скорую руку отредактировал бинарник курла и libcurl-4.dll, заменив там первую букву во всех вхождениях строки Transfer-Encoding, дабы этот заголовок в нём не имел специального значения и отправлялся на сервер, как и остальные пользовательские заголовки. На придумывание чего-то хитрого не стал тратить время, но через Wireshark убедился, что нужные заголовки в запросах к nginx на месте, а от nginx уже нет (curl запускал с переменной окружения SSLKEYLOGFILE).
| | |
| |
| 6.140, Аноним (-), 05:23, 09/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ммм... хакир! :) Т.е. HTTP/2 стал внаглую рассылать Transfer-Encoding как HTTP/2 хидер? Мсье эстет, мне это нравится. Пойду тоже что-нить пропатчу, только, пожалуй, в сорце :]
| | |
|
|
|
|
|
| 1.27, Kuromi (ok), 17:35, 07/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Не волйнутесь, сейчас Гугл быстренько придумает HTTP3...ой, нет, наверное уже HTTP4.
| | |
| |
| |
| |
| 4.49, онанимус (?), 23:03, 07/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
это тебе, живущему в свободной стране, так кажется.
а в Китае взлетит.
| | |
| |
| 5.76, Онаним (?), 12:02, 08/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну так там цели иные, нежели связность и удобство.
А в условиях адекватных целей не взлетит.
| | |
|
|
| 3.50, Kuromi (ok), 23:25, 07/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Хуавей уже замену TCP/IP придумал. Этакий зомбоящик получается.
Так же как они "заменили" Андроид?
| | |
|
| 2.56, Anonn (?), 03:43, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Такими темпами скоро перейдут на 6-недельные релизы, синхронно с Хромом. Циферки будут меняться как в одометре.
| | |
|
| 1.70, Аноним (70), 11:29, 08/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
javascript макак как обычно взламывают даже без использования уязвимостей неправильной работы с памятью.
Несомненно у них ошибка в днк
| | |
| |
| |
| 3.118, Аноним (22), 14:26, 08/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну, если бы они осилили http2.createServer, то последствий их рукоблудия перечисленные уязвимости не коснулись бы.
| | |
| |
| 4.139, Аноним (-), 05:16, 09/08/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Как раз в них.
Эта проблема может возникнуть даже в проектах никак не использующих JS, и вообще, достаточно концептуальна.
Root cause - разное видение мира разными частями системы, ЯП в формулу факапа вообще не входит. Я вообще видел это в совсем других протоколах и ЯП, но оно тоже жгло напалмом по примерно тем же failure modes. Это довольно мощный - и довольно недооцененный - класс багов.
> Various people believe in JavaScript crypto, unfortunately.
Я даже согласен, но это все же вообще совсем полностью другой класс проблем. Хотя если свести все проблемы к "програмер/архитект идиот", тогда будет что-то общее конечно. Но это довольно упрощенная картина мира.
| | |
| |
| |
| 6.151, Аноним (-), 07:07, 10/08/2021 [^] [^^] [^^^] [ответить]
| +/– |
> А то, что видение мира у JS-смузихлёбов отбито по самое не балуй,
> тебя не смущает?
Так оно же не только у них отбито. Вон какие-нибудь питонисты или даже хрустики с их серебряными пулями из слегка приукрашеного материала.
| | |
|
|
|
|
|
| |
| 2.148, Аноним (148), 22:17, 09/08/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
В соседнюю ветку загляни, там в твоём расте дыреней наделали мама не горюй.
| | |
| 2.149, Аноним (-), 22:22, 09/08/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Надо было на расте писать.
Точняк, надо запилить что-нибудь с этой уязвимостью и на хрусте. Нужно больше CVE, милорд!
| | |
|
| 1.150, Gogi (??), 00:14, 10/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Это называется не "уязвимость", а "заставили обезьян веб проектировать"!
Бэкенду вообще никаким боком не нужен HTTP! Связать фронт и бэк можно сотней РАЗНЫХ способов, где запросы разных клиентов вообще не пересекаются.
| | |
| |
| 2.166, Аноним (166), 22:46, 22/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
К разработчикам SPDY, из которого произошёл HTTP/2 первое предложение относится на 100%. В той конторе вменяемость запрещается проносить на территорию.
| | |
|
| 1.155, Gena ANTG (ok), 17:29, 11/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Мамкины "иксперты" даже не поняли о чем идет речь в статье, говорят за JS, Rust :D
Подумали, что под фронтом имеют ввиду JS, а не прокси-сервер на бэке с проблемой общения между протоколами, а-а-а-а-ахахах.
| | |
| 1.163, Аноним (164), 09:44, 18/08/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А почему бы просто не общаться с бэкендами по http/2? Ведь это бинарный протокол, а значит парсинг и сериализация в него идёт эффективнее. Заодно и встроенные в парсер проверки всех размеров внутри сообщения.
| | |
| 1.165, Аноним (166), 22:44, 22/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если в HTTP/2 указана длина, зачем допускается Content-Length? Даже если это не прокси, а просто сервер, ему на какое значение ориентироваться?
| | |
|
