forum.opennet.ru - "Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS-атаке" (133)

"Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS-атаке"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS-атаке"	+/–
Сообщение от opennews (??), 10-Окт-23, 23:46
Компания Google зафиксировала крупнейшую DDoS-атаку на свою инфраструктуру, интенсивность которой составила 398 миллионов запросов в секунду. Для сравнения новая атака в 7 раз превосходит по интенсивности прошлую рекордную DDoS-атаку, в которой злоумышленникам удалось сформировать поток из 47 миллионов запросов в секунду. Помимо Google с атакой также столкнулись компании Amazon и Сloudflare. Возможность совершения новой атаки связана с выявлением в протоколе HTTP/2 уязвимости (CVE-2023-44487), позволяющей при минимальной нагрузке на клиента направлять огромный поток запросов на сервер... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59901
Ответить \| Правка \| Cообщить модератору

Оглавление

Исправление для CVE-2023-44487 было объединено golang go 63417И выпущен Go 1, Аноним (1), 23:46 , 10-Окт-23, (1) –7

Зато фаны рекламившие caddy относительно nginx сейчас познают ярость Xel Naga , Аноним (-), 09:12 , 11-Окт-23, (31)
А как такое может быть Ошибка к примеру в grpc-go и golang , test (??), 11:51 , 11-Окт-23, (77)

шах и мат растофилы s, Аноним (3), 23:57 , 10-Окт-23, (3) +5

может растофобы или ты из тех, кто считает что позитивный тест на зппп это хоро, Аноним (4), 00:02 , 11-Окт-23, (4) +7

Ты это что же, на раст быковать смеешь Раст безопасный ЯП, защищает носителя от, Аноним (52), 10:13 , 11-Окт-23, (52) +3

Причем здесь это Атака есть вариация на тему DDOS с учетом особенностей протоко, Kuromi (ok), 00:07 , 11-Окт-23, (5) +1

Да, всё верно, Rust не причем Был бы 8220 причём 8221 не было бы и уязвимос, Аноним (9), 00:14 , 11-Окт-23, (9)

Потому что HTTP 2 придумали сишники, очевидно же , Аноним (33), 09:21 , 11-Окт-23, (33) +2

Ну как же Волшебная пилюля же От всего лечит, от всего спасает А когда не спа, Аноним2 (?), 03:40 , 11-Окт-23, (19) +2

На самом деле, она не лечит, она увеличивает IQ for free Допустим, средний сиш, Аноним (33), 11:29 , 11-Окт-23, (71) –2

Блин, если у этих IQ 80 то какой же тогда у вон тех, с хомячком на логотипе, и п, Аноним (-), 18:57 , 11-Окт-23, (110)

конечно не проявляется это же Rust детка , Аноним (9), 00:23 , 11-Окт-23, (10) –2
К чести сказать, уязвимые версии были Но эта проблема была закрыта ещё в апреле, НяшМяш (ok), 03:59 , 11-Окт-23, (21) +7

Искали соринку в расте и нашли точно такую же как везде Всё остальное - попытка, Аноним (90), 13:43 , 11-Окт-23, (90) –1

Тем временем, в angie пока никаких изменений https github com webserver-llc an, Аноним (7), 00:11 , 11-Окт-23, (7)

Ой, да ладно тебе На время посмотри Вот проснуться и сразу черрипикнут фикс , Анонин (?), 09:07 , 11-Окт-23, (29) +2
Ну, Дунин же сказалСоответственно, и про angie - тоже FUD , Аноним (33), 09:27 , 11-Окт-23, (35)

дооптимизировались Ну ничего, ничего - это еще http 3 никто даже толком и не ко, пох. (?), 00:11 , 11-Окт-23, (8) –1

Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реали, Kuromi (ok), 02:57 , 11-Окт-23, (18) +4

Ну это еще как сказать, периодически всплывают новые креативные атаки Если инте, Аноним (-), 10:39 , 11-Окт-23, (56) +1

Особенно если использовать зоопарк смузиподелок, потому что общепринятые сервер, Аноним (90), 13:46 , 11-Окт-23, (91)

Ну да У более-менее попсовых серверов - вытоптанность поляны выше среднего, им , Аноним (-), 18:58 , 11-Окт-23, (111)

Да ты не боись, в HTTP 1 1 пайплайнинг есть, а slowloris у так то и без него даж, Аноним (-), 09:15 , 11-Окт-23, (32)

IfModule mod_reqtimeout c RequestReadTimeout header 20-40,MinRate 500 body 2, Аноним (33), 09:33 , 11-Окт-23, (36)

Ну да, ну да, вы можете попытаться закостылить А атакующий - подобрать параметр, Аноним (-), 10:02 , 11-Окт-23, (43) +2

Неа 2-3 секунды на отправку запроса - более чем достаточно для любого клиента , Аноним (33), 10:04 , 11-Окт-23, (48) –1

В случае slowloris идея - жрать ресурсы сервака как можно дольше и масштабнее с , Аноним (57), 10:44 , 11-Окт-23, (57)

Вот только slow lori тут не при чем Оно работает за счет того, что медленные за, Аноним (33), 11:22 , 11-Окт-23, (69)

Таймауты в несколько секунд сами по себе - факапнут и загрузку легитимных файлов, Аноним (-), 16:13 , 11-Окт-23, (105)

лол кек, опять кино про море, я вот только одно не понял, в nginx limit_req не о, Sw00p aka Jerom (?), 10:27 , 11-Окт-23, (54)

ограничивает, они даже радостно написали об этом в своем вывсеврети отклике на э, пох. (?), 23:22 , 11-Окт-23, (128)

https trac nginx org nginx ticket 2155 comment 11, Alex_K (??), 19:22 , 13-Окт-23, (145) +1

солидарен, пох , crypt (ok), 12:49 , 11-Окт-23, (82)

Так вот почему ютуб сегодня такой дохлый , Аноним (11), 00:27 , 11-Окт-23, (11)
Google-комбо - пиарить HTTP 3 и хейтить HTTP 2 на, так сказать, натуре , Аноним (14), 01:45 , 11-Окт-23, (14) +1

э http 3 просто еще пальчиком никто не поковырял Там будут тааакие ништяки, , пох. (?), 01:55 , 11-Окт-23, (15) +2

Mail ru ковырял Так и есть Там по дефолту никто не знает как защититься от ддо, Аноним2 (?), 04:18 , 11-Окт-23, (23) +2

Ну тогда пиара HTTP 1 x в этих ваших интернетах было просто немеряно Это воо, Аноним (52), 10:09 , 11-Окт-23, (50)

Для Netty выпущен фикс https netty io news 2023 10 10 4-1-100-Final htmlСтранн, Golangdev (?), 02:20 , 11-Окт-23, (17)

У него поддержка TLS без которого HTTP 2 нормально не работает, потому что нуже, Аноним (33), 09:25 , 11-Окт-23, (34)
Что это за Shitty который без клаудспайвари сайт за клаудспайварой даже серви, Аноним (52), 10:11 , 11-Окт-23, (51) –1

http 2 неудачный протокол как и всё что работает поверх типа gRPC , Вас (?), 07:43 , 11-Окт-23, (26) –2

http неудачный протокол, хорошо что хоть что-то пытаются с этим сделать, но попы, Аноньимъ (ok), 10:49 , 11-Окт-23, (60)

Ну во первых это апгрейд с HTTP Чтобы начать конект по вебсокету - надо част, Аноним (106), 16:21 , 11-Окт-23, (106)

Пора вернуться к истокам , Аноним (28), 09:03 , 11-Окт-23, (28) +2

Dial-up с FIDO Медиаконтент заказывать через BBS с доставкой на прокатной флешк, Аноним (30), 09:12 , 11-Окт-23, (30)

Флоппинет же, однако , Аноним (-), 09:59 , 11-Окт-23, (40) –1
По телетайпу , Аноним (58), 10:47 , 11-Окт-23, (58)

Если серьезно, то вполне адекватный протокол вписывающийся в идеалогию suckless , Аноним (41), 10:00 , 11-Окт-23, (41) +4

В детстве я тоже ддосил форумы и чатики спрутом 128513 шантажировав админов, Аноним (41), 09:58 , 11-Окт-23, (38) –3

Спасибо за чистосердечное , Polizei (?), 15:13 , 11-Окт-23, (99) +2
И ещё гордишься этим Тфу Оброс подворотни , Аноним (102), 15:28 , 11-Окт-23, (102)

Смысл было атаковать Google Они же легко определят DDoS и проанализируют его С, Пряник (?), 10:00 , 11-Окт-23, (42)

Последние несколько лет идут разные сообщения о том, что уровень технической кул, Аноньимъ (ok), 10:52 , 11-Окт-23, (61)

Неизбежный процесс для любой крупной корпорации - мотивированные люди вытесняютс, Аноним (33), 11:25 , 11-Окт-23, (70) +3

Возможно поэтому стала популярна культура кикстарта - сначала докажи, что ты нуж, Пряник (?), 12:50 , 11-Окт-23, (83)

Корпорация и СССР, например, устроены очень похоже Старинный боян, давнишнее на, Аноним (88), 13:26 , 11-Окт-23, (88)

Верное наблюдение И там и там применяют технологию баптизма Лозунги транспа, Аноньимъ (ok), 14:49 , 11-Окт-23, (98)

Идеальная корпоративная культура в банках Ошибка разработчикам известна Возможно, Аноним (101), 15:27 , 11-Окт-23, (101)

Это ещё не худший банк В одном жёлтом, например, несколько лет назад каждое движ, Аноним (33), 19:44 , 11-Окт-23, (116)

Тем не менее, крупным коропорациям, у которых много денег, эта культура никак не, Аноним (33), 14:25 , 11-Окт-23, (92)

А кто сказал что жирнокорп не может деградировать и даже развалиться по модели р, Аноним (-), 19:05 , 11-Окт-23, (112)

Как раз в соседней новости про curl обсуждали, что из редхата сваливают мейнте, Аноним (33), 23:19 , 11-Окт-23, (126)

Ну так это ж не весь IBM со всеми его закоулками, а локальные траблы конкретного, Аноним (-), 20:46 , 12-Окт-23, (136)

Вы чего-то в больших корпорациях не понимаете , Аноньимъ (ok), 16:21 , 13-Окт-23, (141)

Я в этих корпорациях еще и был В отличие от вас Но вы можете мне мастеркласс п, Аноним (-), 21:15 , 13-Окт-23, (147)

Ну так наняли питоняш всяких, которым сложно более пары часов в день быть эффект, Аноним (106), 16:24 , 11-Окт-23, (107)

Питончик, игогоша, растишка, сишка абстракции на абстракциях сидят и абстракц, Аноним (33), 23:04 , 11-Окт-23, (124)

Да вон они, колибру переписывают с 32 битов на 64 как раз Уже и C-- какой-то, Аноним (-), 20:50 , 12-Окт-23, (137)

Ну что же, давай посмотрим, насколько всё грустно По данным Yahoo Finance, за , Менеджер Антона Алексеевича (?), 22:45 , 12-Окт-23, (138)

Вы за меня не переживайте, я не грущу Эта фраза не то означает, это оборот тако, Аноньимъ (ok), 23:43 , 12-Окт-23, (139)
И не будет коррелировать Как и вообще что либо реальное Смотря что у вас за би, Аноньимъ (ok), 23:59 , 12-Окт-23, (140)

Не нужно елозить У любого бизнеса основная цель ровно одна извлечение прибыли , Менеджер Антона Алексеевича (?), 16:57 , 13-Окт-23, (142)

То как оно офрмлено, и то чем оно является на самом деле - разные вещи Не говоря, Аноньимъ (ok), 17:57 , 13-Окт-23, (143)

Бывает и такое да Обычно это банальный tax fraud Результат соответствующий Отн, Менеджер Антона Алексеевича (?), 18:20 , 13-Окт-23, (144)

Activision например Отличный результат От налогов их освобождает правительство, Аноньимъ (ok), 20:44 , 13-Окт-23, (146)

Смотрим в официальный финансовый отчёт Activision Blizzard Income tax expense 15, Менеджер Антона Алексеевича (?), 21:36 , 13-Окт-23, (149) –1

Вы чего Тут ту ру Это 99 денег в США у малого бизнеса И там половина чего кого, Аноньимъ (ok), 01:41 , 14-Окт-23, (151)

А вон там Майкрософт как раз попался на этом самом Всего ничего - 30 миллиардов, Аноним (-), 21:19 , 13-Окт-23, (148)

Ну так и в чём проблема-то Попался, получил по рукам, больше так не будет, буде, Менеджер Антона Алексеевича (?), 22:33 , 13-Окт-23, (150)

Смысл вообще принимать запросов больше, чем можешь обработать Хотя никто даже н, Пряник (?), 10:03 , 11-Окт-23, (46)

ну, по идеи, клиентов не терять - в очередь их ставить, а не к конкурентам отпра, Аноним (-), 10:24 , 11-Окт-23, (53)
О, вы не понимаете, дев ляп и в продакшен, должно работать ещё вчера, а вы тут ч, Аноньимъ (ok), 11:02 , 11-Окт-23, (62) –1

Не не не, такой трафик в первую очередь влез в физический канал, объём которого , Пряник (?), 12:43 , 11-Окт-23, (79)

То им забили канал Так чтобы его забить вроде ненужно на принимающей стороне во, Аноньимъ (ok), 14:34 , 11-Окт-23, (96)

Сервера подвесили Просто, чтобы не подвесили можно было бы намеренно канал мень, Пряник (?), 16:04 , 11-Окт-23, (104)

Что в первом серваки заняты , что во втором канал занят случае - ваши серваки, Аноним (33), 19:39 , 11-Окт-23, (115)

И да, фаервол ненужен, это опять таки админу платить, у нас нет таких денег Д, Аноньимъ (ok), 11:05 , 11-Окт-23, (64) –1

Все это замечательно, хотя между строчек и читается обидка, что заклятые девляпс, Аноним (33), 11:42 , 11-Окт-23, (74)

Девляпсы - вовремя адаптировавшиеся к прогрессу админы из подвальчиков Сейчас сл, Аноним (88), 13:22 , 11-Окт-23, (87)

То есть, они имеют более развитый интеллект, чем те, которые не адаптировались , Аноним (33), 14:27 , 11-Окт-23, (93) +2

Страшная правда заключается в том Вообще странно, вроде базовая штука, файрвол, Аноньимъ (ok), 14:29 , 11-Окт-23, (94)

Посчитать TCP-соединения можно Посчитать HTTP 2-стримы - нельзя И PPS к этому не, Аноним (33), 19:37 , 11-Окт-23, (114)

Чё Вы о чём вообще Http2 работает поверх TCP Один юзер это одно тср соединени, Аноньимъ (ok), 21:14 , 11-Окт-23, (117)

На которое можно аллоцировать миллиарды стримов, у каждого из которых будут свои, Аноним (33), 23:15 , 11-Окт-23, (125)

потому что это не ошибка а стандарт http2 так написан , пох. (?), 11:00 , 12-Окт-23, (131)

Да вот говорят, пришел Anna Senpai к Креббсу - и оказалось что не так уж тот Бэт, Аноним (-), 23:01 , 11-Окт-23, (123) +1

Отдавать задачи на аутсорс - нормальная практика У фирм часто нет ни админов, н, Пряник (?), 12:45 , 11-Окт-23, (80)

Так как разбираться в чужом коде без качественной документации и консультаций от, Аноним (33), 12:49 , 11-Окт-23, (81) +1

Вообще - да Но Походу сейчас идёт расслоение водителей кобыл на малочисленных и, Аноним (88), 13:20 , 11-Окт-23, (86)

Чтобы наладить IT-компоненты типового бизнеса который что-то заказывает, получа, Аноним (33), 14:33 , 11-Окт-23, (95)

Ну такое, если вы мелкий продавец рогов и копыт, и вам нужен сайт визитка или не, Аноньимъ (ok), 14:42 , 11-Окт-23, (97)

менеджер Программист - нинюна , пох. (?), 11:02 , 12-Окт-23, (132)

я вот не особо понимаю, а какой практический смысл в дидосе, объективно если - ш, Аноним (-), 10:27 , 11-Окт-23, (55)

есть же дети, которым надо в твиттере написать tango down, дауны епта, Sw00p aka Jerom (?), 11:06 , 11-Окт-23, (65)

Меня в бородатые времена как-то в жаббере ддосить они весёлый парень решил видим, Аноньимъ (ok), 11:13 , 11-Окт-23, (67)

это же бизинессс, видать демо атака стресс тест была, а гугл завалить можно , Sw00p aka Jerom (?), 11:51 , 11-Окт-23, (76)
Да, примерно год назад было популярно , Аноним (11), 15:35 , 11-Окт-23, (103)
А я как-то видел как спамбот в жаба-конфу забрел Это совсем задник - он стал га, Аноним (106), 16:29 , 11-Окт-23, (108) +1

Да, жабер забавная ерунда, внебрачный сын smtp и icq С парсерами хмл имел не так, Аноньимъ (ok), 21:22 , 11-Окт-23, (118)

Скорее, HTML-я какого, при том - безразмерного Кто вообще догадался до идее что, Аноним (-), 22:53 , 11-Окт-23, (120)

Ну, причин может быть много Можно что-то скрыть А можно уронить или поднять чьи-, Аноньимъ (ok), 11:09 , 11-Окт-23, (66)

ну да, все результаты - моментные, Аноним (-), 19:48 , 12-Окт-23, (134)

Бизнес нередко делают _частично_ закладываясь, что будет лучше, чем окажется на , Аноним (88), 13:10 , 11-Окт-23, (85) +1
Зиродей и небольшое количество ботов не вызывают удивления Похоже, что малой ча, Аноним (100), 15:22 , 11-Окт-23, (100)
если ты гугль или еще кто там с бесконечной деньгой или бесконечными ресурсами, , пох. (?), 23:40 , 11-Окт-23, (130)

ну, теоритически - дану если, к примеру, открыть онлайн-магаз, конкурент там озо, Аноним (-), 19:52 , 12-Окт-23, (135)

я тут из софта вижу только nginx, остальное - хистомусор маленьким хипсторами н, 12yoexpert (ok), 11:04 , 11-Окт-23, (63) –1

nginx тоже хипстота на смузях, труЪ одмины используют опач , Аноним (33), 11:18 , 11-Окт-23, (68) –1

он жив , Иваня (?), 11:41 , 11-Окт-23, (73) +2

Живой проект - это хипсторский термин, означающий полуфабрикат, нуждающийся в , Аноним (33), 12:36 , 11-Окт-23, (78)

И по достижении второго пункта отбираются в Debian или RHEL Да , Аноним (88), 13:04 , 11-Окт-23, (84)
И через какое время после EOL с вашей точки зрения проект становится production , Котофалк (?), 18:02 , 11-Окт-23, (109)

А вот как погрузят тебя на котофалк - так ты и production ready для вон тех ворк, Аноним (-), 19:16 , 11-Окт-23, (113)

тук-тук, не пригласите ли войти в ваш уютный домик С удовольствием поспорю с ва, пох. (?), 23:35 , 11-Окт-23, (129)
А фиг его знает, EoL или не EoL, по факту понятно только что EoS , Tron is Whistling (?), 14:40 , 12-Окт-23, (133)

Проблема ожидаема, Аноним (75), 11:51 , 11-Окт-23, (75)
TCP 3-way и x-RTT лишнее, говорили они Ну, расхлёбывайте теперь Наверняка далек, Tron is Whistling (?), 22:49 , 11-Окт-23, (119)

Слышь, эксперт, сабж так то поверх TCP работает , Аноним (-), 22:55 , 11-Окт-23, (121)

Я не про сабж, а про оверол психолохию HTTP 3 ещё хуже, просто пока на стадии Дж, Tron is Whistling (?), 22:59 , 11-Окт-23, (122)
И да, сколько TCP 3-way сабж делает на вот данное число сеансов , Tron is Whistling (?), 23:19 , 11-Окт-23, (127)

Скрыто модератором, Google (?), 18:03 , 16-Окт-23, (152)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS..." –7 +/–

Сообщение от Аноним (1), 10-Окт-23, 23:46

Исправление для CVE-2023-44487 было объединено: golang / go #63417
И выпущен Go 1.21.3: https://github.com/golang/go/releases/tag/go1.21.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS..." +/–

Сообщение от Аноним (-), 11-Окт-23, 09:12

> Исправление для CVE-2023-44487 было объединено: golang / go #63417
Зато фаны рекламившие caddy относительно nginx сейчас познают ярость Xel'Naga :)

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS..." +/–

Сообщение от test (??), 11-Окт-23, 11:51

А как такое может быть ?
Ошибка (к примеру) в grpc-go и golang ?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +5 +/–

Сообщение от Аноним (3), 10-Окт-23, 23:57

> hyper (уязвимость не проявляется)
шах и мат растофилы /s

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +7 +/–

Сообщение от Аноним (4), 11-Окт-23, 00:02

может растофобы? или ты из тех, кто считает что позитивный тест на зппп это хорошо?)

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +3 +/–

Сообщение от Аноним (52), 11-Окт-23, 10:13

> может растофобы? или ты из тех, кто считает что позитивный тест на зппп это хорошо?)
Ты это что же, на раст быковать смеешь? Раст безопасный ЯП, защищает носителя от всех ошибок!

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Kuromi (ok), 11-Окт-23, 00:07

Причем здесь это? Атака есть вариация на тему DDOS с учетом особенностей протокола, Rust тут вообще не причем.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

9. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (9), 11-Окт-23, 00:14

Да, всё верно, Rust не причем. Был бы “причём” не было бы и уязвимости в протоколе HTTP/2

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Аноним (33), 11-Окт-23, 09:21

Потому что HTTP/2 придумали сишники, очевидно же.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Аноним2 (?), 11-Окт-23, 03:40

Ну как же. Волшебная пилюля же. От всего лечит, от всего спасает. А когда не спасает "а мы чего, а мы ничего, это все карго/либа/разработчик/протокол/мозилла, а у нас все безопасно"

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

71. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –2 +/–

Сообщение от Аноним (33), 11-Окт-23, 11:29

На самом деле, она не лечит, она увеличивает IQ (for free).
Допустим, средний сишник с типовым IQ 80 переучивается на ржавчину, и качество кода становится таким, как будто у него IQ уже 110 - в частности, исчезают buffer overflow через каждые десять строчек, за которые мы так любим сишку.
В общем, ржавчина - это инструмент, позволяющий подпустить ветеранов сишки к разработке и получить более качественный продукт. Не идеальный, но более качественный.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 18:57

> На самом деле, она не лечит, она увеличивает IQ (for free).
> Допустим, средний сишник с типовым IQ 80 переучивается на ржавчину, и качество
> кода становится таким, как будто у него IQ уже 110 -
> в частности, исчезают buffer overflow через каждые десять строчек, за которые
> мы так любим сишку.
> В общем, ржавчина - это инструмент, позволяющий подпустить ветеранов сишки к разработке
> и получить более качественный продукт. Не идеальный, но более качественный.
Блин, если у этих IQ=80 то какой же тогда у вон тех, с хомячком на логотипе, и прочими гадюками? Эти вообще ошибки не проверяют и код пишут по принципу "как-то запускается - деплою в прод!"

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –2 +/–

Сообщение от Аноним (9), 11-Окт-23, 00:23

> hyper (уязвимость не проявляется).
конечно не проявляется! это же Rust детка!

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

21. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +7 +/–

Сообщение от НяшМяш (ok), 11-Окт-23, 03:59

К чести сказать, уязвимые версии были. Но эта проблема была закрыта ещё в апреле, что упоминается в посте про текущую уязвимость: https://seanmonstar.com/post/730794151136935936/hyper-http2-...
И это забавно, ведь начиналось всё как баг в hyperе, было пофикшено и полгода спустя оказалось, что у всех остальных ровно такая же проблема. Искали соринку в расте и не заметили бревна у себя.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

90. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Аноним (90), 11-Окт-23, 13:43

Искали соринку в расте и нашли точно такую же как везде. Всё остальное - попытка натянуть тёплое на мягкое

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (7), 11-Окт-23, 00:11

Тем временем, в angie пока никаких изменений https://github.com/webserver-llc/angie/commits/master

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Анонин (?), 11-Окт-23, 09:07

Ой, да ладно тебе. На время посмотри!
Вот проснуться и сразу черрипикнут фикс.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 09:27

Ну, Дунин же сказал
> There is FUD being spread that nginx is vulnerable to CVE-2023-44487.
Соответственно, и про angie - тоже FUD.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от пох. (?), 11-Окт-23, 00:11

дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял...

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +4 +/–

Сообщение от Kuromi (ok), 11-Окт-23, 02:57

> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и
> не ковырял...
Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реализации H2. Как ни крути, HTTP 1.1 при всей устарелости все таки изучен вдоль и поперек.
С H3 никто еще всерьез и не работает, он в интернетах всплывает местячково.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Аноним (-), 11-Окт-23, 10:39

> Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реализации H2.
> Как ни крути, HTTP 1.1 при всей устарелости все таки изучен вдоль и поперек.
Ну это еще как сказать, периодически всплывают новые креативные атаки. Если интересоваться разработкой HTTP серваков можно увидеть что порой прилетают очень креативные запросы - и - вот случается гамно. Особенно если у вас не дай боже по пути прокся или лоадбалансер, там даже с HTTP1 фронт <-> HTTP1 бэк можно откушать более 9000 приколов, если они например хидеры по разному понимают. А они это дело любят, поэтому есть прикольные вещи типа request smuggling и надеяться что это ВСЕ починено может только питоняша-оптимист, уверенный что ЯП и рантайм его от всего спасет. У атакующих на этот счет немного иные идеи и разваливается вон то только в путь.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (90), 11-Окт-23, 13:46

Особенно если использовать зоопарк смузиподелок, потому что "общепринятые серверы сложна и нидастатачна быстра, нада пириписатьнараст"

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 18:58

> Особенно если использовать зоопарк смузиподелок, потому что "общепринятые серверы сложна
> и нидастатачна быстра, нада пириписатьнараст"
Ну да. У более-менее попсовых серверов - вытоптанность поляны выше среднего, им уже накидали всякой фигни а у этих еще все впереди.
Апачу правда это решительно не помогает. Зачем кто-то использует этот хлам черт его знает.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 09:15

> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял...
Да ты не боись, в HTTP/1.1 пайплайнинг есть, а slowloris'у так то и без него даже нормуль, там идея открыть соединение, читать из него 10 байтов в час, а вот тут все ресурсы на клиента выделены и если это DDoS - ну ты понял что будет твоим утюгам типа опача, особенно вариантам форкавшим по процессу или треду на клиента.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

36. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 09:33

<IfModule mod_reqtimeout.c>
   RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500
</IfModule>
(но это не отменяет УГшности апача)

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Аноним (-), 11-Окт-23, 10:02

> RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500
Ну да, ну да, вы можете попытаться закостылить. А атакующий - подобрать параметры когда ддос ботам еще вполне нормалек, а вы уже своих нормальных клиентов начинаете рубить. Если цель самоустранилась - это вполне валидный сценарий, цель атаки же достигнута. Моральное удовлетворение обгажено конечно, но ддосеры обычно этим занимаются для профита и им в целом похрен.
> (но это не отменяет УГшности апача)
Ну вот то то и оно.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Аноним (33), 11-Окт-23, 10:04

Неа. 2-3 секунды на отправку запроса - более чем достаточно для любого клиента (кроме телнета), а slow lori при этом не дает атакующим существенных преимуществ.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (57), 11-Окт-23, 10:44

В случае slowloris идея - жрать ресурсы сервака как можно дольше и масштабнее с минимумом нагрузки на клиент - и нагнав пачку клиентов.
В этом случае 2-3 секунды - да в общем то похрен. Можно даже не пайплайновый HTTP так держать, вот клиент при этом никуда не торопится: чем дольше вы на клиента сокеты, буферы, файловые дескрипторы и проч держите - тем хуже в общем то для ВАС. Потому что если таких придет 100 000 и начнут параллельно это делать - ну и насколько у вас сокетов, файловых дескрипторов, буферов и проч хватит? Особенно если еще форкать по процессу или треда на клиента, тогда коллапс наступит намного быстрее :)

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 11:22

> Потому что если таких придет 100 000 и начнут параллельно это делать - ну и насколько у вас сокетов, файловых дескрипторов, буферов и проч хватит?
Вот только slow lori тут не при чем. Оно работает за счет того, что медленные запросы позволяют выжрать больше ресурсов, не попадая под rate limit. При таймаутах в несколько секунд на запрос это уже не работает.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 16:13

> Вот только slow lori тут не при чем. Оно работает за счет
> того, что медленные запросы позволяют выжрать больше ресурсов, не попадая под
> rate limit. При таймаутах в несколько секунд на запрос это уже не работает.
Таймауты в несколько секунд сами по себе - факапнут и загрузку легитимных файлов с вашего хоста клиентами, особенно не очень быстрыми. Но как уже было сказано, если цель решит добровольно сделать self destruct, это хоть и уменьшает моральное удовлетворение атакующего, но цель атаки все же достигается, а остальное не так уж и важно.
Так что если целью было отвадить юзеров с вашего сервака, это при таких мерах - получится. Атакующий потом может вообще не тратить ресурсы и ржать откуда там ему удобно глядя на шоу.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Sw00p aka Jerom (?), 11-Окт-23, 10:27

лол кек, опять кино про море, я вот только одно не понял, в nginx limit_req не ограничивает интенсивность запросов?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

128. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от пох. (?), 11-Окт-23, 23:22

ограничивает, они даже радостно написали об этом в своем вывсеврети отклике на эту проблему.
Но, поскольку желающих надра4ивать лимиты и выслушивать потоки благодарности от легальных пользователей не так много как тебе кажется, а keepalive_requests с какого-то хрена в современных версиях задрали в небеса и толку от него мало - добавили в ядро проверку на совсем уж охреневшего клиента, явно ничего общего не имеющего с валидным пользователем.

Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Alex_K (??), 13-Окт-23, 19:22

https://trac.nginx.org/nginx/ticket/2155#comment:11

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от crypt (ok), 11-Окт-23, 12:49

> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял...
солидарен, пох:(

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (11), 11-Окт-23, 00:27

Так вот почему ютуб сегодня такой дохлый.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Аноним (14), 11-Окт-23, 01:45

Google-комбо - пиарить HTTP/3 и хейтить HTTP/2 на, так сказать, натуре?

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от пох. (?), 11-Окт-23, 01:55

э... http/3 просто еще пальчиком никто не поковырял. Там будут тааакие ништяки, что банальный ddos самого сервера ерундой покажется.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Аноним2 (?), 11-Окт-23, 04:18

Mail$ru ковырял. Так и есть. Там по дефолту никто не знает как защититься от ддоса, живут только потому что протокол непопулярный. Но при малейшем чихе - отключают.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (52), 11-Окт-23, 10:09

> Google-комбо - пиарить HTTP/3 и хейтить HTTP/2 на, так сказать, натуре?
Ну тогда пиара HTTP/1.x в этих ваших интернетах было просто немеряно :). Это вообще по сути респин атаки на HTTP/1.x - просто креативно усиленный с использованием фич протокола. Кто-то подумал - мол, ага, если клиент может запросы пайплайнить пачками, почему бы это и не сделать. А самое странное - а что, отмена запросов так уж грузит какие-то дурные утюги, что это для них проблема? Может, там в дизайне сервера что-то подправить надо на самом то деле? Но число rps на рыло в секунду ограничивать всяко мастхэв.
Хоть в каком HTTP. А то в HTTP/1.x с пайплайнингом это можно. Да даже и без пайплайнинга - открыть цать конекций, и вперед. Ну да - вы можете зобанить клиентов по числу конектов с айпи. Только в результате вы загасите все провайдерские наты и прочее ненужно типа торов и впн - и останетесь вообще без клиентов. Юзерей с уникальным IPv4 в современном мире еще поискать.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

17. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Golangdev (?), 11-Окт-23, 02:20

Для Netty выпущен фикс https://netty.io/news/2023/10/10/4-1-100-Final.html
> Apache Traffic Server™ is a fast, scalable and extensible HTTP/1.1 and HTTP/2 compliant caching proxy server.
Странно что ничего не выпущено для Varnish, он как бэ тоже "кэшинг сервер".

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 09:25

У него поддержка TLS (без которого HTTP/2 нормально не работает, потому что нужен ALPN), есть только в коммерческой версии.
Можно, конечно, настроить varnish на plain http2, но выставлять наружу такую порнографию никто не будет.
Поэтому на практике, варниши обычно всегда прикрыты прокси-сервером (HAProxy, nginx, Envoy).

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Аноним (52), 11-Окт-23, 10:11

> Для Netty выпущен фикс https://netty.io/news/2023/10/10/4-1-100-Final.html
Что это за Shitty который без клаудспайвари (сайт за клаудспайварой!) даже сервировать себя не может? То что клаудфларь способна себя сервировать - мы заметили, но это не заслуга вон того недоразумения.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

26. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –2 +/–

Сообщение от Вас (?), 11-Окт-23, 07:43

http/2 неудачный протокол как и всё что работает поверх типа gRPC

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 10:49

http неудачный протокол, хорошо что хоть что-то пытаются с этим сделать, но попытки в целом скорее забавляют.
Вроде вебсокеты изобрели, вроде ничего так, но что там при коннекте происходит я не смотрел конечно.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (106), 11-Окт-23, 16:21

> Вроде вебсокеты изобрели, вроде ничего так, но что там при коннекте происходит
> я не смотрел конечно.
Ну во первых это апгрейд с HTTP :). Чтобы начать конект по вебсокету - надо часть HTTP уметь.
После того как прокатило, в принципе, там все что угодно, у него есть некий минимальный фрейминг и пара трюков чтобы нельзя было так нашару произвольный хост донимать как настоящим сокетом (иначе хомячками с браузерами досеры убьют все живое) - но дальше допущений минимум, примерно как с обычным сокетом.
Во вторых, есть маленький нюанс. В силу упомянутого свойства, у клиента HTMLки + JS еще нету, чтобы коммуницировать по вебсокету то. И вебсокет НЕ для отгрузки файлов в чистом виде, это такой себе СОКЕТ. Конечно если HTML+JS у вас локально сохранен, или это какая-то апликуха вы можете и напрямую с websocket-сервером початиться. Но вот зайти на сайт сразу по вебсокету? Не, так не получится.
В третьих, ws может в принципе быть инициирован как поверх HTTP1.x так и 2.x насколько я помню, но он таки опосля них работает и заменяет дальнейшее на HTTP -> кастомный протокол. Это однако не заменяет HTTP... как максимум замена или альтернатива XHR -> WebSocket может быть для ряда вещей более удачной идеей. Уповать на только ws без фалбэка на XHR для более тормозного но все ж IO - чревато, т.к. всякие корпы могут и зобанить сие на проксях, как раз потому что там произвольный протокол не особо поддающийся анализу потом и мало ли кто там что вытворит.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Аноним (28), 11-Окт-23, 09:03

>Gemini, Gopher
Пора вернуться к истокам!

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (30), 11-Окт-23, 09:12

Dial-up с FIDO. Медиаконтент заказывать через BBS с доставкой на прокатной флешке

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Аноним (-), 11-Окт-23, 09:59

> Dial-up с FIDO. Медиаконтент заказывать через BBS с доставкой на прокатной флешке
Флоппинет же, однако.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (58), 11-Окт-23, 10:47

По телетайпу!

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

41. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +4 +/–

Сообщение от Аноним (41), 11-Окт-23, 10:00

> Gopher
Если серьезно, то вполне адекватный протокол вписывающийся в идеалогию suckless.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

38. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –3 +/–

Сообщение от Аноним (41), 11-Окт-23, 09:58

В детстве я тоже ддосил форумы и чатики "спрутом" 😁 шантажировав админов на бабло.

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Polizei (?), 11-Окт-23, 15:13

Спасибо за чистосердечное.

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (102), 11-Окт-23, 15:28

И ещё гордишься этим? Тфу! Оброс подворотни!

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

42. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Пряник (?), 11-Окт-23, 10:00

Смысл было атаковать Google? Они же легко определят DDoS и проанализируют его. Спецов у них достаточно.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 10:52

Последние несколько лет идут разные сообщения о том, что уровень технической культуры в гугле сильно упал. Отмечается, что многие вещи они выкатывают с недоработками и ошибками.
Я сам довольно гарусные вещи вижу у них последнее время.
Так что я бы не был так уверен на счёт спецов.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +3 +/–

Сообщение от Аноним (33), 11-Окт-23, 11:25

Неизбежный процесс для любой крупной корпорации - мотивированные люди вытесняются эффективными менеджерами, потому что они лучше встраиваются в корпоративную структуру.
Именно поэтому любая крупная корпорация приходит к состоянию, которое большинство людей ассоциируют с "госами" - бюрократия, имитация деятельности, рисование себе офигительных показателей, ущемление тех, кто действительно хочет сделать хорошо.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Пряник (?), 11-Окт-23, 12:50

Возможно поэтому стала популярна культура кикстарта - сначала докажи, что ты нужен, тогда заплатим.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (88), 11-Окт-23, 13:26

Корпорация и СССР, например, устроены очень похоже. Старинный боян, давнишнее наблюдение. И недостатки с болезнями схожие. С тех болезней иногда и умирают.
> сначала докажи, что ты нужен, тогда заплатим.
Всегда так было. Никогда за обещания бизнес не брал в товарищи.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 14:49

> Корпорация и СССР, например, устроены очень похоже. Старинный боян, давнишнее наблюдение.
> И недостатки с болезнями схожие. С тех болезней иногда и умирают.
Верное наблюдение. И там и там применяют технологию **баптизма**.
Лозунги транспаранты, регулярные партиные собрания, публичные унижения и прочие тимбилдинги, не спрашивай что партия сделал для тебя, и в таком духе.
Чистая ЗП у менеджеров небольшая, но есть премия за выполнение без вопросов нужных приказов и просьб начальства с выше. А на самых низовых уровнях рабочие обслуживают себя сами, сами собой управляют, сами у себя ошибки и недочёты находят на собраниях и так.

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (101), 11-Окт-23, 15:27

Идеальная корпоративная культура в банках.
Ошибка разработчикам известна.
Возможно даже нашли как исправить.
Но ну будет, пока не всплывет проблема какая-нибудь.
Ибо после исправления ошибки надо провести тестирование и оформить кучу документации.
А за исправление ошибок менеджеры по служебной лестнице не растут.
Вот за любые, даже глупые, реализованные идеи - растут.
Вот и реализуют абсолютную ...

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 19:44

> Ибо после исправления ошибки надо провести тестирование и оформить кучу документации.
Это ещё не худший банк.
В одном жёлтом, например, несколько лет назад каждое движение на проде требовало зашкаливающей храбрости, потому что тысячи недокументированных микросервисов, написанных на шарпе и запущенных на "продовой" виртуалке с виндой, причём, сцко, кнопочкой run из visual studio. И все они как-то друг на друга завязаны, только никто не знал, как, потому что текучка дикая и большинство писателей уже утекли.
Полагаю, сейчас там так же. Основатель ушёл, его ДНК осталась.

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 14:25

> Возможно поэтому стала популярна культура кикстарта - сначала докажи, что ты нужен, тогда заплатим.
Тем не менее, крупным коропорациям, у которых много денег, эта культура никак не помогает от перерождения в балаган с надувными KPI.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

112. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 19:05

> Тем не менее, крупным коропорациям, у которых много денег, эта культура никак
> не помогает от перерождения в балаган с надувными KPI.
А кто сказал что жирнокорп не может деградировать и даже развалиться по модели развала экономики СССР? Failure mode крупных структур - может быть похожим. Когда в отчетах все охрененно - но почему-то вокруг ж@па. Если корпа вовремя не просекает это дело - ей может и крышка настать, так бывало. Однако акционеры в настроении денег зарабатывать и обычно могут хреновых управленцев уйти, если очень приперло, в отличие от. Поэтому не любой корп разваливается. Какой-нибудь IBM так уже скоро наверное как век просуществует, а Форд и того больше.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 23:19

Как раз в соседней новости (про curl) обсуждали, что из редхата сваливают мейнтейнеры опенсорсных проектов. Скорее всего, как раз из-за того, что IBM - типичные жирнокорпы с эффективным менеджментом.
Это к тому, что для крупной корпорации сползание в дегенеративный балаган практически неизбежно, но это не обязательно влечёт развал.

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 12-Окт-23, 20:46

> Как раз в соседней новости (про curl) обсуждали, что из редхата сваливают
> мейнтейнеры опенсорсных проектов. Скорее всего, как раз из-за того, что IBM
> - типичные жирнокорпы с эффективным менеджментом.
Ну так это ж не весь IBM со всеми его закоулками, а локальные траблы конкретного закоулка, где каким-то мышкам в какую-то норку слон таки написал. Кому малая нужда - а кому и наводнение! Мыши конечно могут попытаться кусать за пятки негодяя, и в принципе это даже может иметь определенный эффект, но вот умереть от этого он все же не обязан.
> Это к тому, что для крупной корпорации сползание в дегенеративный балаган практически
> неизбежно, но это не обязательно влечёт развал.
В большую корпорацию денег извне бесконечно никто докидывать не будет - оно либо самокорректируется, либо вооон там статья о банкротстве. И при этом первым делом меняется управление в надежде перезапустить эту штуку. А если совсем не получается, ну, ок, совсем распродадут на части и закроют.
А вон у тех так было не модно. Поэтому по данному курсу проследовала сразу вся страна, когда невозможность этой процедуры привела к тому что ресурсы кончились вообще глобально и везде. Так что на деньги стало нечего купить, по сути. В случае кончины 1 корпы ушерб все же более лимитирован по масштабу.

Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 13-Окт-23, 16:21

>В большую корпорацию денег извне бесконечно никто докидывать не будет
Вы чего-то в больших корпорациях не понимаете.

Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 13-Окт-23, 21:15

>>В большую корпорацию денег извне бесконечно никто докидывать не будет
> Вы чего-то в больших корпорациях не понимаете.
Я в этих корпорациях еще и был. В отличие от вас. Но вы можете мне мастеркласс попробовать дать, конечно. Только вот знаете, корпы даже и не скрывают что "как поработаете - так и получите", очень способствует чтобы до вон того не дошло.
Еще кстати есть вариант что корпу начавшую испытывать проблемы сжует другая корпа, еще ДО того как она на банкротство подаст. Как характерный пример - хотя-бы Sun Microsystems тот же. А вот именно амеровскому gov нафиг не упало всяких лузеров до упора поддерживать. И ряд немаленьких контор, таки, успешно скончались. Иногда при ликвидации конкуренты что-то подбирают подешевке на распродажах активов и проч, но вообще - могут и прихлопнуть. Не всей корпой - так по частям. Кто вот ща вспомнит что моторола - делала процы? Всерьез рубясь с интелем? А, подразделение вообще по рукам пошло, и сейчас, если не ошибаюсь, останки где-то в недрах NXP, чтоли?

Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (106), 11-Окт-23, 16:24

> Последние несколько лет идут разные сообщения о том, что уровень технической культуры
> в гугле сильно упал. Отмечается, что многие вещи они выкатывают с
> недоработками и ошибками.
Ну так наняли питоняш всяких, которым сложно более пары часов в день быть эффективными. Которые подрываются кодить дрова для фуксий если не на питончике так хоть на игогошке. Получается понятно чего - FAT32 который нитормозит и память нижрет, вот только что-то переписывать пришлось...

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

124. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 23:04

Питончик, игогоша, растишка, сишка... абстракции на абстракциях сидят и абстракциями погоняют. Все это неимоверно тупит и тормозит.
Настоящие прогеры пишут строго на асме.

Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 12-Окт-23, 20:50

> Питончик, игогоша, растишка, сишка... абстракции на абстракциях сидят и абстракциями погоняют.
> Все это неимоверно тупит и тормозит.
> Настоящие прогеры пишут строго на асме.
Да вон они, колибру переписывают с 32 битов на 64 как раз :). Уже и C-- какой-то любить начали, и чего это они? Ренегады проклятые! :)

Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Менеджер Антона Алексеевича (?), 12-Окт-23, 22:45

> Последние несколько лет идут разные сообщения о том, что уровень технической культуры в гугле сильно упал
Ну что же, давай посмотрим, насколько всё грустно. По данным Yahoo! Finance, за текущий год на данный момент (в тысячах долларов США):
Total Revenue    289,531,000
Cost of Revenue    129,028,000
Gross Profit    160,503,000
Ты, конечно, можешь грустить сколько угодно, но что-то незаметно чтобы «уровень технической культуры» как-то коррелировал с оборотом и доходами. Важность техперсонала для бизнеса сильно переоценена. Конечно, не любая обезьяна может работать в Гугле, определённый уровень знаний и опыта необходим, но он не настолько высок. Впрочем, в Гугл ни один опеннетчик не прошёл бы собеседование, так что всё относительно.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

139. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 12-Окт-23, 23:43

Вы за меня не переживайте, я не грущу. Эта фраза не то означает, это оборот такой. Но если хотите помочь, могу адрес скинуть.

Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 12-Окт-23, 23:59

> что-то незаметно чтобы «уровень технической культуры» как-то коррелировал с оборотом и доходами.
И не будет коррелировать. Как и вообще что либо реальное.
> Важность техперсонала для бизнеса сильно переоценена
Смотря что у вас за бизнес и в чем его цели. Чтобы делать деньги вообще практически ничего ненужно. Кроме правильного происхождения конечно.

Ответить | Правка | К родителю #138 | Наверх | Cообщить модератору

142. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Менеджер Антона Алексеевича (?), 13-Окт-23, 16:57

> Смотря что у вас за бизнес и в чем его цели.
Не нужно елозить. У любого бизнеса основная цель ровно одна: извлечение прибыли. Вне зависимости от происхождения, политических идеалов, философских убеждений, религии и любых других произвольных метрик. Если основная цель не извлечение прибыли, то этот вид предпринимательства называется и юридически оформляется иначе.

Ответить | Правка | Наверх | Cообщить модератору

143. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 13-Окт-23, 17:57

То как оно офрмлено, и то чем оно является на самом деле - разные вещи.
Не говоря уже о том что чей-то "бизнес" зачастую состоит из множества юрлиц самых разных в самых разных юрисдикциях. А крупный бизнес вне политики не существует как явление.

Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Менеджер Антона Алексеевича (?), 13-Окт-23, 18:20

> То как оно офрмлено, и то чем оно является на самом деле - разные вещи.
Бывает и такое да. Обычно это банальный tax fraud. Результат соответствующий.
> Не говоря уже о том что чей-то "бизнес" зачастую состоит из множества юрлиц самых разных в самых разных юрисдикциях.
Отнюдь не зачастую. Подавляющая часть бизнесов — это одно юрлицо, занятое в какой-то определённой сфере или находящееся на стыке некскольких смежных сфер, например грузчики осуществляющие переезд, обычно так же торгуют упаковочными материалами. Сложные схемы со множеством юрлиц в разных юрисдикциях свойственны либо большим транснациональным конгломератам, либо коррупционным схемам.
> А крупный бизнес вне политики не существует как явление.
И как это всё отменяет мой тезис о том, что основная цель бизнеса — получение прибыли? Я что-то не улавливаю твой аргумент.

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 13-Окт-23, 20:44

> Бывает и такое да. Обычно это банальный tax fraud. Результат соответствующий.
Activision например. Отличный результат. От налогов их освобождает правительство.
А есть ещё отмывание например.
> Отнюдь не зачастую. Подавляющая часть бизнесов — это одно юрлицо, занятое в
> какой-то определённой сфере или находящееся на стыке некскольких смежных сфер, например
> грузчики осуществляющие переезд, обычно так же торгуют упаковочными материалами. Сложные
> схемы со множеством юрлиц в разных юрисдикциях свойственны либо большим транснациональным
> конгломератам, либо коррупционным схемам.
Ну тоесть буквально ВЕСЬ крупный бизнес.
Вот вам примитивная вообще и простая схемка:
https://smart-lab.ru/uploads/images/00/17/18/2013/10/02/1189...
Насколько те к кому она ведёт реальные персонажи вопрос великий. Но в цивилизованном мире(с) концов обычно вообще никаких не найти.
> И как это всё отменяет мой тезис о том, что основная цель
> бизнеса — получение прибыли?
> Я что-то не улавливаю твой аргумент.
Да нет никакой "прибыли" как явления.

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Менеджер Антона Алексеевича (?), 13-Окт-23, 21:36

> Activision например. Отличный результат. От налогов их освобождает правительство.
Смотрим в официальный финансовый отчёт Activision Blizzard:
Income tax expense 155 70
Это в миллионах долларов за 2023 и 2022 соответственно. Что-то не похоже, чтобы освободили. Ты случайно tax defer, tax relief и tax exemption не путаешь?
> А есть ещё отмывание например.
Есть. Тоже является наказуемым деянием. И?
> Ну тоесть буквально ВЕСЬ крупный бизнес.
Крупных бизнесов очень мало. Большая часть бизнеса в развитых экономиках — это т.н. малый бизнес. Даже среднего бизнеса довольно мало в сравнении с малым. Если взять для примера США, то это 99.9% всего бизнеса в стране и в нём занята почти половина работоспособного населения. Устройство крупного бизнеса безусловно интересно как явление, и при этом никак вообще не отражает того, чем занята большая часть населения планеты. На схеме, которую ты привёл, проиллюстрирована обычная коррупция, не имеющая никакого отношения к бизнесу, и с которой борется госрегулятор. Где-то успешно, а где-то как в Сургуте.
> Да нет никакой "прибыли" как явления
Ишь ты! Ты так попробуй в следующей своей налоговой декларации указать, мол, нет такого явления, а потому и налоги я не должен. Посмотрим, как это прокатит.

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 14-Окт-23, 01:41

> Даже среднего бизнеса довольно мало в сравнении с
> малым. Если взять для примера США, то это 99.9% всего бизнеса
> в стране и в нём занята почти половина работоспособного населения.
Вы чего? Тут ту ру?
Это 99% денег в США у малого бизнеса?
И там половина чего кого занята?
Капец.

Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 13-Окт-23, 21:19

>> То как оно офрмлено, и то чем оно является на самом деле - разные вещи.
> Бывает и такое да. Обычно это банальный tax fraud. Результат соответствующий.
А вон там Майкрософт как раз попался на этом самом. Всего ничего - 30 миллиардов грина уклонений от налогов вменяют. Ну что, удачно оптимизнули? :)

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

150. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Менеджер Антона Алексеевича (?), 13-Окт-23, 22:33

> А вон там Майкрософт как раз попался на этом самом. Всего ничего - 30 миллиардов грина уклонений от налогов вменяют. Ну что, удачно оптимизнули? :)
Ну так и в чём проблема-то? Попался, получил по рукам, больше так не будет, будет придумывать как иначе оптимизировать. Бизнес без риска и потерь бывает только в мечтах.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Пряник (?), 11-Окт-23, 10:03

Смысл вообще принимать запросов больше, чем можешь обработать? Хотя никто даже не знал, что такие запросы можно отправлять, лол.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 10:24

ну, по идеи, клиентов не терять - в очередь их ставить, а не к конкурентам отправлять. инет как киоск же - чем больше народу обслужишь - тем тебе выгоднее

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 11:02

> Смысл вообще принимать запросов больше, чем можешь обработать? Хотя никто даже не
> знал, что такие запросы можно отправлять, лол.
О, вы не понимаете, дев ляп и в продакшен, должно работать ещё вчера, а вы тут что, может ещё админа хотите нанять чтобы всё настраивать? Лишить менеджера бонуса хотите? У нас тут эффективные девляпсы которые работают за троих, им некогда такими мелочами заниматься.
Да и сайт все-равно за клаудфларой, договор заключён все проплачено руки пожатый релиз обмыт премии выплачены, и у нас UI USER TROTTLENING, так что чаще 1 раза в секунду юзер не может никогда ничего слать.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

79. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Пряник (?), 11-Окт-23, 12:43

Не не не, такой трафик в первую очередь влез в физический канал, объём которого рассчитывали под принимающие этот траффик вычислительные ресурсы (например, Huawei ce12808s). До девляпсов там ещё далеко.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 14:34

> Не не не, такой трафик в первую очередь влез в физический канал,
> объём которого рассчитывали под принимающие этот траффик вычислительные ресурсы (например,
> Huawei ce12808s). До девляпсов там ещё далеко.
То им забили канал? Так чтобы его забить вроде ненужно на принимающей стороне вообще ничего...
Я так понимаю что не канал забили, а конкретно веб севера подвесили?

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Пряник (?), 11-Окт-23, 16:04

Сервера подвесили. Просто, чтобы не подвесили можно было бы намеренно канал меньше сделать (не знаю, делают ли вообще так). Но кто же знал...

Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 19:39

Что в первом (серваки заняты), что во втором (канал занят) случае - ваши серваки недоступны извне.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 11:05

И да, фаервол ненужен, это опять таки админу платить, у нас нет таких денег :) Девопс говорит что на наших виртуалках с докером с 10Мб Го бинарниками это слишком ресурсозатратно.
И у нас уже установление крутой фаервол от КАЛУД ПРОВАЙДЕРА в котором можно открывать и закрывать порты ))) мы спрашивали девопса он сказал что все безопасно, а защиту от ддос мы отдельно купили.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

74. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 11:42

Все это замечательно, хотя между строчек и читается обидка, что заклятые девляпсы получают в десять раз больше вас :)
Но сабжевая новость как раз и посвящена тому, что можно обойти лимиты как в фаерволе (потому что на L4 соединение остается одно и то же), так и в приложении (потому что в уязвимых реализациях данные действия никак не ограничиваются). Так что будь у вас даже мега-бородатый супер-админ со 150-киллограммовым пузом, в свитере, который ещё СССР застал, и недельным запасом еды в бороде - всё равно вас уронят, если не обновиться (а обновляться такие админы ой как не любят, "работает - не трожь, не работает - /etc/init.d/httpd restart").

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (88), 11-Окт-23, 13:22

Девляпсы - вовремя адаптировавшиеся к прогрессу админы из подвальчиков.
Сейчас следующая итерация: уметь получать результат из купленного директором ИИ.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Аноним (33), 11-Окт-23, 14:27

То есть, они имеют более развитый интеллект, чем те, которые не адаптировались.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 14:29

> Все это замечательно, хотя между строчек и читается обидка, что заклятые девляпсы
> получают в десять раз больше вас :)
Страшная правда заключается в том...
> Но сабжевая новость как раз и посвящена тому, что можно обойти лимиты
> как в фаерволе (потому что на L4 соединение остается одно и
> то же)
Вообще странно, вроде базовая штука, файрволы вроде соединения отслеживают. Неужели в established нельзя посчитать? Кажется PPS считают всё кому не лень.
Не говоря уже что повсюду DPI понатыканы.
> так и в приложении (потому что в уязвимых реализациях
> данные действия никак не ограничиваются).
В приложении то должно быть элементарно это реализовать... Странно что это не стандартная практика.
статистику собирать о каждом чихе пользователя вроде научились, а pps посчитать не могут?
> мега-бородатый супер-админ со 150-киллограммовым пузом, в свитере, который ещё СССР застал,
> и недельным запасом еды в бороде - всё равно вас уронят,
> если не обновиться (а обновляться такие админы ой как не любят,
> "работает - не трожь, не работает - /etc/init.d/httpd restart").
И не такое бывает. Опеннет все ещё на KOI8-R фунциклирует.
Просто вспоминаю дремучие времена до всех этих клоудфлар, когда защиту от ддоса обсуждали довольно активно все кому не лень, и делали довольно успешно.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

114. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 19:37

> Вообще странно, вроде базовая штука, файрволы вроде соединения отслеживают. Неужели в established нельзя посчитать? Кажется PPS считают всё кому не лень.
Посчитать TCP-соединения можно.
Посчитать HTTP/2-стримы - нельзя.
И PPS к этому не имеет прямого отношения.
Модель OSI, слышали?
> Не говоря уже что повсюду DPI понатыканы.
TLS, ALPN - слышали?
> В приложении то должно быть элементарно это реализовать...
Ну реализуйте, раз это так просто.
Большинство приложений почему-то предпочитают использовать готовые реализации HTTP/2.
> Просто вспоминаю дремучие времена до всех этих клоудфлар, когда защиту от ддоса обсуждали довольно активно все кому не лень, и делали довольно успешно.
А потом пришёл cloudflare и начал укладывать всех, кто пытался делать бизнес, не купив его услуги.

Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 21:14

> Посчитать TCP-соединения можно.
> Посчитать HTTP/2-стримы - нельзя.
> И PPS к этому не имеет прямого отношения.
Чё? Вы о чём вообще? Http2 работает поверх TCP. Один юзер это одно тср соединение. И считать pps или просто байты в секунду нужно для одного соединения. Фаерволы это вообще вроде умеют делать, но я не обнаружил пока внятной документации, похоже оно нинужно.
А если вы о НТТР проксировании, так от ддоса до прокси нужно защищаться.
> Модель OSI, слышали?
И чё?
> TLS, ALPN - слышали?
И чё с того? У вас задача объём трафика посчитать, а не шифрование вскрыть.
> Ну реализуйте, раз это так просто.
Как-будто какую-то злобу ощущаю я.
🤔🤔
> Большинство приложений почему-то предпочитают использовать готовые реализации HTTP/2.
Не понимаю что это значит. Апач с ngnix IIS и lighttpd одну реализацию используют?
Ну если у гугла мс и прочих нет никакой потребности от ддоса делать простую защиту, то мне оно нафига?
> А потом пришёл cloudflare и начал укладывать всех, кто пытался делать бизнес,
> не купив его услуги.
А теперь оказывается у них соломенные фаерволы и сервера в ржавых контейнерах, а не чистых облаках.
Закономерно конечно 😐

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 23:15

> Один юзер это одно тср соединение
На которое можно аллоцировать миллиарды стримов, у каждого из которых будут свои буферы.
> И считать pps или просто байты в секунду нужно для одного соединения
Какая восхитительная идея! Правда, не позволит отличить болезненную для сервера атаку с открытием миллиардов стримов от легитимной закачки файла.
> И чё с того? У вас задача объём трафика посчитать, а не шифрование вскрыть.
С такими потрясающими идеями, вам надо немедленно свой стартап открывать! Получите миллиардные инвестиции, выкинете клаудфларь с рынка, сможете купить всю эту планетку и пару соседних в придачу.
Ведь никто раньше не додумался до такой простой мысли - L7 DoS можно предотвратить, просто считая пакеты или байты!
А вот вы додумались. И теперь сможете перевернуть этот мир.
> Как-будто какую-то злобу ощущаю я.
Просто не будьте валенком и постарайтесь думать над тем, что пишете.
> Не понимаю что это значит. Апач с ngnix IIS и lighttpd одну реализацию используют?
Разные, но ошибка в логике почти у всех одна и та же.

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от пох. (?), 12-Окт-23, 11:00

> Разные, но ошибка в логике почти у всех одна и та же.
потому что это не ошибка а стандарт http2 так написан.

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Аноним (-), 11-Окт-23, 23:01

> А потом пришёл cloudflare и начал укладывать всех, кто пытался делать бизнес,
> не купив его услуги.
Да вот говорят, пришел Anna Senpai к Креббсу - и оказалось что не так уж тот Бэтмэн и крут. В том смысле что клаудфларь предпочел послать кребса послать в пешее вместо защиты от ддоса, с аргументом "что-то нам душновато от вас". Ну вот такие защитники от ддоса :)

Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

80. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Пряник (?), 11-Окт-23, 12:45

Отдавать задачи на аутсорс - нормальная практика. У фирм часто нет ни админов, ни программистов, ни девляпсов в штате. Те отработали, получили и свалили в закат.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

81. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Аноним (33), 11-Окт-23, 12:49

Так как разбираться в чужом коде без качественной документации и консультаций от авторов - весьма неэффективный процесс, то мы получаем поддержку уровня D&G (Dorogo & Govno).
Кому-то нормальная практика, да.
А кому важен стабильно работающий бизнес - не очень.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (88), 11-Окт-23, 13:20

Вообще - да. Но:
Походу сейчас идёт расслоение водителей кобыл на малочисленных инженеров авто-прома и массу таксистов. Таксист не выпускает авто и даже чинить не всегда умеет. Зато агрегаты в автомобили взаимодействуют по TCP/IP, например.
Программирование уходит в малочисленные группы способных писать хороший код на службе у владельца облака. Остальные становятся перепродажниками возможностей облака и ИИ. Трансформация займёт сколько-то много десятков лет времени.
Мало кто пишет много кода для себя. Необязательно покупать плохой код.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 14:33

Чтобы наладить IT-компоненты типового бизнеса (который что-то заказывает, получает, складирует, развозит и продаёт), то есть сайт-магазин и внутренние инструменты логистики и учёта - облака сами по себе мало полезны (это просто инфра для запускания кода, а кто его напишет?), а ИИ - практически бесполезен (нет, встроить интерактивного консультанта с на сайт магазина - прикольно, но не критичная функциональность). Нужны программисты, которые будут писать код. Ну, или адаптировать готовые решения под хотелки бизнеса (но это, как правило, сводится к вышеописанному случаю "получили на поддержку чужой код и вышло D&G").

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 14:42

> Отдавать задачи на аутсорс - нормальная практика. У фирм часто нет ни
> админов, ни программистов, ни девляпсов в штате. Те отработали, получили и
> свалили в закат.
Ну такое, если вы мелкий продавец рогов и копыт, и вам нужен сайт визитка или небольшой интернет магазин, то да.
Хотя там айти фирмы держат такие рога и копыта на платной подписке на поддержку наверное.
Но вообще, если у вас бизнес от инфраструктуры зависит, нужен как минимум ответственный за инфраструктуру.
Так то я хреновый видимо бизнесмен, так что не знаю как оно должно быть.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

132. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от пох. (?), 12-Окт-23, 11:02

> Но вообще, если у вас бизнес от инфраструктуры зависит, нужен как минимум
> ответственный за инфраструктуру.
менеджер.
Программист - нинюна!

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 10:27

я вот не особо понимаю, а какой практический смысл в дидосе, объективно если - шантаж, либо работать не давать - ну это же решаемо всё, пусть не сразу
остаётся, что-то скрыть хотели вчера?)

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Sw00p aka Jerom (?), 11-Окт-23, 11:06

>а какой практический смысл в дидосе
есть же дети, которым надо в твиттере написать tango down, дауны епта

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 11:13

>>а какой практический смысл в дидосе
> есть же дети, которым надо в твиттере написать tango down, дауны епта
Меня в бородатые времена как-то в жаббере ддосить они весёлый парень решил видимо скриптиком на питоне. Пришлось в срочном порядке антиспам настраивать, хах, ну и канал интернета у меня был видимо жирнее его в несколько раз. Вспомнилось. А помните "*** взрывает дома орбитальная ионная пушка" ? Вот веселуха была, когда люди сами по своей воле себе ддоселки с удалённым управлением ставили :3
Но тут я думаю таки не совсем дети.

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Sw00p aka Jerom (?), 11-Окт-23, 11:51

>Но тут я думаю таки не совсем дети.
это же бизинессс, видать демо "атака" (стресс тест) была, а гугл завалить можно? - можно :)

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (11), 11-Окт-23, 15:35

>когда люди сами по своей воле себе ддоселки с удалённым управлением ставили
Да, примерно год назад было популярно.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

108. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Аноним (106), 11-Окт-23, 16:29

> Меня в бородатые времена как-то в жаббере ддосить они весёлый парень решил
> видимо скриптиком на питоне. Пришлось в срочном порядке антиспам настраивать, хах,
А я как-то видел как спамбот в жаба-конфу забрел. Это совсем задник - он стал гасить 250К сообщениями за присест, заранее подготовленными видимо. Клиенты так увлеклись парсингом таких чудес на вход, что моды висели тряпочками и ничего сделать не могли. Зато вот все как питоняши любят - вербозный универсальный XML на все случаи, сообщения без ограничения лимита, а что будет с конфой если туда 250К XMLками с размаха гасить на скорость - мы подумаем как-нибудь потом.

> ? Вот веселуха была, когда люди сами по своей воле себе
> ддоселки с удалённым управлением ставили :3
Жаба такая весьма веселая штука, парсить его довольно ресурсоемко так то. И вообще прикольно когда вам на вход валится БЕЗРАЗМЕРНАЯ простынка, которую нельзя просто скипнуть. Надо XML от и до парсить. Иначе синхро с потоком сорвется и парсер сломается - внезапно.
> Но тут я думаю таки не совсем дети.
Ну те кто выносил конфу - явно понимали что делали. У...ли с размаха, кажется их мод какой-то забанил, и они за это конкретный реванш взяли, завалив конфу в гамно.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

118. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 21:22

Да, жабер забавная ерунда, внебрачный сын smtp и icq.
С парсерами хмл имел не так давно интересный опыт, почему-то редки или нет механизмы частичного итеративного парсинга, а мне допустим 20 гигов нужно распарсить.
В итоге плюнул и руками с регекспом разобрал всё.

Ответить | Правка | Наверх | Cообщить модератору

120. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 22:53

> Да, жабер забавная ерунда, внебрачный сын smtp и icq.
Скорее, HTML-я какого, при том - безразмерного. Кто вообще догадался до идее что XML бесконечным потоком это круто - ктулху б его знает! Но как минимум эквивалент STARTTLS - их абстракция уже таки не потянула и в общем то нарушается с самого начала конекта, если вам логин-пароль плейнтекстом слать было неохота. Ну вот такая вот универсальность суперпротокола, в самом нужном месте фуфел как обычно у чрезмерно абстрактной байды переклиненой на концепциях вместо решения конкретных проблем.
> С парсерами хмл имел не так давно интересный опыт, почему-то редки или
> нет механизмы частичного итеративного парсинга, а мне допустим 20 гигов нужно
> распарсить.
Спеки очень навороченные. А полностью их не умеет наверное почти никто. Скажем сколько вообще получающих на вход XML готовы к XSLT какому-нибудь? Или к деланию чего-то с Schema? А формально оно там бывает.
> В итоге плюнул и руками с регекспом разобрал всё.
20 гигз это еще по божески. Попробуй planet.xml от опенстритмапсов. И таки то что он там типа-т екстовый при ТАКОМ весе файло не особо кому поможет, а какой вообще эдитор ЭТО сможет открыть?! Там примерно 250-300 гигз :). Они с горя protocol buffers и полюбили. Ну да, это уже 25-30 гигз весит, получше все же чутка.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноньимъ (ok), 11-Окт-23, 11:09

> я вот не особо понимаю, а какой практический смысл в дидосе, объективно
> если - шантаж, либо работать не давать - ну это же
> решаемо всё, пусть не сразу
> остаётся, что-то скрыть хотели вчера?)
Ну, причин может быть много.
Можно что-то скрыть.
А можно уронить или поднять чьи-то акции, а там деньги такие можно срубить.
А можно обосновать этим выделение бюджета, либо пропихнуть какое-то решение в компании, либо вообще закон протолкнуть.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

134. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 12-Окт-23, 19:48

ну да, все результаты - моментные

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +1 +/–

Сообщение от Аноним (88), 11-Окт-23, 13:10

Бизнес нередко делают _частично_ закладываясь, что будет лучше, чем окажется на самом деле - рискуя. Серверов закупают меньше, чем нужно для обещанных на продажу возможностей. Например.
Такой DDoS - способ сделать по факту качество хуже, чем бизнесмен мечтал.
Пойдут разговоры про мерзкий Ютрупп и прочая слякоть.
It makes sense, definitely. But you understand it when you see it from another one's  perspective. See it from perspective of another mind.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

100. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (100), 11-Окт-23, 15:22

Зиродей и небольшое количество ботов не вызывают удивления? Похоже, что малой частью бот-нета сгенерировали четверть от верхней границы суточного объёма всей сети.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

130. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от пох. (?), 11-Окт-23, 23:40

> я вот не особо понимаю, а какой практический смысл в дидосе, объективно
> если - шантаж, либо работать не давать - ну это же
> решаемо всё, пусть не сразу
если ты гугль или еще кто там с бесконечной деньгой или бесконечными ресурсами, а лучше то и другое - решаемо. А если мелкая лавочка по производству каких-нибудь гаечек с левой резьбой - то твой внезапно вылезший на рыночек конкурент вполне может успешно ликвидировать твой сайтег с концами.
И недорого!

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

135. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 12-Окт-23, 19:52

ну, теоритически - да
ну если, к примеру, открыть онлайн-магаз, конкурент там озону/яндексу/вайлдберрис, у которых бабла немало, начнут тебя выжимать, что, реально не останется никакой возможности закрыться от этого?

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от 12yoexpert (ok), 11-Окт-23, 11:04

я тут из софта вижу только nginx, остальное - хистомусор. маленьким хипсторами нравится, когда им засадят по самое http, а лучше два

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." –1 +/–

Сообщение от Аноним (33), 11-Окт-23, 11:18

nginx тоже хипстота на смузях, труЪ одмины используют опач.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +2 +/–

Сообщение от Иваня (?), 11-Окт-23, 11:41

он жив?!

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (33), 11-Окт-23, 12:36

"Живой проект" - это хипсторский термин, означающий полуфабрикат, нуждающийся в постоянной обработке напильником.
Проекты делятся на два вида:
- Те, что ещё дорабатывают (т.е. сырые).
- Те, которые не нуждаются в доработке (т.е. production ready).

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (88), 11-Окт-23, 13:04

И по достижении второго пункта отбираются в Debian или RHEL. Да.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Котофалк (?), 11-Окт-23, 18:02

И через какое время после EOL с вашей точки зрения проект становится production ready?

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

113. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 19:16

> И через какое время после EOL с вашей точки зрения проект становится
> production ready?
А вот как погрузят тебя на котофалк - так ты и production ready для вон тех воркеров. И тут уж точно EOL, попробуй ка оспорь.

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от пох. (?), 11-Окт-23, 23:35

> ready для вон тех воркеров. И тут уж точно EOL, попробуй
> ка оспорь.
тук-тук, не пригласите ли войти в ваш уютный домик? С удовольствием поспорю с вами, кому тут будет EOL, а кому совсем наоборот.

Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Tron is Whistling (?), 12-Окт-23, 14:40

А фиг его знает, EoL или не EoL, по факту понятно только что EoS.

Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

75. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (75), 11-Окт-23, 11:51

Проблема ожидаема

Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Tron is Whistling (?), 11-Окт-23, 22:49

TCP 3-way и x-RTT лишнее, говорили они.
Ну, расхлёбывайте теперь. Наверняка далеко не последнее.

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Аноним (-), 11-Окт-23, 22:55

> TCP 3-way и x-RTT лишнее, говорили они.
> Ну, расхлёбывайте теперь. Наверняка далеко не последнее.
Слышь, эксперт, сабж так то поверх TCP работает.

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Tron is Whistling (?), 11-Окт-23, 22:59

Я не про сабж, а про оверол психолохию.
HTTP/3 ещё хуже, просто пока на стадии Джо.

Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..." +/–

Сообщение от Tron is Whistling (?), 11-Окт-23, 23:19

И да, сколько TCP 3-way сабж делает на вот данное число сеансов?

Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

152. Скрыто модератором +/–

Сообщение от Google (?), 16-Окт-23, 18:03

HTTP/2 устарел!
Все срочно переходим на HTTP/3

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS..."	–7 +/–
Сообщение от Аноним (1), 10-Окт-23, 23:46
Исправление для CVE-2023-44487 было объединено: golang / go #63417 И выпущен Go 1.21.3: https://github.com/golang/go/releases/tag/go1.21.
Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS..."	+/–
	Сообщение от Аноним (-), 11-Окт-23, 09:12
	> Исправление для CVE-2023-44487 было объединено: golang / go #63417 Зато фаны рекламившие caddy относительно nginx сейчас познают ярость Xel'Naga :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	77. "Уязвимость в протоколе HTTP/2, применённая в крупнейшей DDoS..."	+/–
	Сообщение от test (??), 11-Окт-23, 11:51
	А как такое может быть ? Ошибка (к примеру) в grpc-go и golang ?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+5 +/–
Сообщение от Аноним (3), 10-Окт-23, 23:57
> hyper (уязвимость не проявляется) шах и мат растофилы /s
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+7 +/–
	Сообщение от Аноним (4), 11-Окт-23, 00:02
	может растофобы? или ты из тех, кто считает что позитивный тест на зппп это хорошо?)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+3 +/–
	Сообщение от Аноним (52), 11-Окт-23, 10:13
	> может растофобы? или ты из тех, кто считает что позитивный тест на зппп это хорошо?) Ты это что же, на раст быковать смеешь? Раст безопасный ЯП, защищает носителя от всех ошибок!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+1 +/–
	Сообщение от Kuromi (ok), 11-Окт-23, 00:07
	Причем здесь это? Атака есть вариация на тему DDOS с учетом особенностей протокола, Rust тут вообще не причем.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	9. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (9), 11-Окт-23, 00:14
	Да, всё верно, Rust не причем. Был бы “причём” не было бы и уязвимости в протоколе HTTP/2
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+2 +/–
	Сообщение от Аноним (33), 11-Окт-23, 09:21
	Потому что HTTP/2 придумали сишники, очевидно же.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+2 +/–
	Сообщение от Аноним2 (?), 11-Окт-23, 03:40
	Ну как же. Волшебная пилюля же. От всего лечит, от всего спасает. А когда не спасает "а мы чего, а мы ничего, это все карго/либа/разработчик/протокол/мозилла, а у нас все безопасно"
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	71. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	–2 +/–
	Сообщение от Аноним (33), 11-Окт-23, 11:29
	На самом деле, она не лечит, она увеличивает IQ (for free). Допустим, средний сишник с типовым IQ 80 переучивается на ржавчину, и качество кода становится таким, как будто у него IQ уже 110 - в частности, исчезают buffer overflow через каждые десять строчек, за которые мы так любим сишку. В общем, ржавчина - это инструмент, позволяющий подпустить ветеранов сишки к разработке и получить более качественный продукт. Не идеальный, но более качественный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	110. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (-), 11-Окт-23, 18:57
	> На самом деле, она не лечит, она увеличивает IQ (for free). > Допустим, средний сишник с типовым IQ 80 переучивается на ржавчину, и качество > кода становится таким, как будто у него IQ уже 110 - > в частности, исчезают buffer overflow через каждые десять строчек, за которые > мы так любим сишку. > В общем, ржавчина - это инструмент, позволяющий подпустить ветеранов сишки к разработке > и получить более качественный продукт. Не идеальный, но более качественный. Блин, если у этих IQ=80 то какой же тогда у вон тех, с хомячком на логотипе, и прочими гадюками? Эти вообще ошибки не проверяют и код пишут по принципу "как-то запускается - деплою в прод!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	–2 +/–
	Сообщение от Аноним (9), 11-Окт-23, 00:23
	> hyper (уязвимость не проявляется). конечно не проявляется! это же Rust детка!
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	21. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+7 +/–
	Сообщение от НяшМяш (ok), 11-Окт-23, 03:59
	К чести сказать, уязвимые версии были. Но эта проблема была закрыта ещё в апреле, что упоминается в посте про текущую уязвимость: https://seanmonstar.com/post/730794151136935936/hyper-http2-... И это забавно, ведь начиналось всё как баг в hyperе, было пофикшено и полгода спустя оказалось, что у всех остальных ровно такая же проблема. Искали соринку в расте и не заметили бревна у себя.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	90. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	–1 +/–
	Сообщение от Аноним (90), 11-Окт-23, 13:43
	Искали соринку в расте и нашли точно такую же как везде. Всё остальное - попытка натянуть тёплое на мягкое
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
Сообщение от Аноним (7), 11-Окт-23, 00:11
Тем временем, в angie пока никаких изменений https://github.com/webserver-llc/angie/commits/master
Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+2 +/–
	Сообщение от Анонин (?), 11-Окт-23, 09:07
	Ой, да ладно тебе. На время посмотри! Вот проснуться и сразу черрипикнут фикс.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (33), 11-Окт-23, 09:27
	Ну, Дунин же сказал > There is FUD being spread that nginx is vulnerable to CVE-2023-44487. Соответственно, и про angie - тоже FUD.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

8. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	–1 +/–
Сообщение от пох. (?), 11-Окт-23, 00:11
дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял...
Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+4 +/–
	Сообщение от Kuromi (ok), 11-Окт-23, 02:57
	> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и > не ковырял... Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реализации H2. Как ни крути, HTTP 1.1 при всей устарелости все таки изучен вдоль и поперек. С H3 никто еще всерьез и не работает, он в интернетах всплывает местячково.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+1 +/–
	Сообщение от Аноним (-), 11-Окт-23, 10:39
	> Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реализации H2. > Как ни крути, HTTP 1.1 при всей устарелости все таки изучен вдоль и поперек. Ну это еще как сказать, периодически всплывают новые креативные атаки. Если интересоваться разработкой HTTP серваков можно увидеть что порой прилетают очень креативные запросы - и - вот случается гамно. Особенно если у вас не дай боже по пути прокся или лоадбалансер, там даже с HTTP1 фронт <-> HTTP1 бэк можно откушать более 9000 приколов, если они например хидеры по разному понимают. А они это дело любят, поэтому есть прикольные вещи типа request smuggling и надеяться что это ВСЕ починено может только питоняша-оптимист, уверенный что ЯП и рантайм его от всего спасет. У атакующих на этот счет немного иные идеи и разваливается вон то только в путь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	91. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (90), 11-Окт-23, 13:46
	Особенно если использовать зоопарк смузиподелок, потому что "общепринятые серверы сложна и нидастатачна быстра, нада пириписатьнараст"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	111. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (-), 11-Окт-23, 18:58
	> Особенно если использовать зоопарк смузиподелок, потому что "общепринятые серверы сложна > и нидастатачна быстра, нада пириписатьнараст" Ну да. У более-менее попсовых серверов - вытоптанность поляны выше среднего, им уже накидали всякой фигни а у этих еще все впереди. Апачу правда это решительно не помогает. Зачем кто-то использует этот хлам черт его знает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (-), 11-Окт-23, 09:15
	> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял... Да ты не боись, в HTTP/1.1 пайплайнинг есть, а slowloris'у так то и без него даже нормуль, там идея открыть соединение, читать из него 10 байтов в час, а вот тут все ресурсы на клиента выделены и если это DDoS - ну ты понял что будет твоим утюгам типа опача, особенно вариантам форкавшим по процессу или треду на клиента.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	36. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (33), 11-Окт-23, 09:33
	<IfModule mod_reqtimeout.c> RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500 </IfModule> (но это не отменяет УГшности апача)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+2 +/–
	Сообщение от Аноним (-), 11-Окт-23, 10:02
	> RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500 Ну да, ну да, вы можете попытаться закостылить. А атакующий - подобрать параметры когда ддос ботам еще вполне нормалек, а вы уже своих нормальных клиентов начинаете рубить. Если цель самоустранилась - это вполне валидный сценарий, цель атаки же достигнута. Моральное удовлетворение обгажено конечно, но ддосеры обычно этим занимаются для профита и им в целом похрен. > (но это не отменяет УГшности апача) Ну вот то то и оно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	–1 +/–
	Сообщение от Аноним (33), 11-Окт-23, 10:04
	Неа. 2-3 секунды на отправку запроса - более чем достаточно для любого клиента (кроме телнета), а slow lori при этом не дает атакующим существенных преимуществ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (57), 11-Окт-23, 10:44
	В случае slowloris идея - жрать ресурсы сервака как можно дольше и масштабнее с минимумом нагрузки на клиент - и нагнав пачку клиентов. В этом случае 2-3 секунды - да в общем то похрен. Можно даже не пайплайновый HTTP так держать, вот клиент при этом никуда не торопится: чем дольше вы на клиента сокеты, буферы, файловые дескрипторы и проч держите - тем хуже в общем то для ВАС. Потому что если таких придет 100 000 и начнут параллельно это делать - ну и насколько у вас сокетов, файловых дескрипторов, буферов и проч хватит? Особенно если еще форкать по процессу или треда на клиента, тогда коллапс наступит намного быстрее :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (33), 11-Окт-23, 11:22
	> Потому что если таких придет 100 000 и начнут параллельно это делать - ну и насколько у вас сокетов, файловых дескрипторов, буферов и проч хватит? Вот только slow lori тут не при чем. Оно работает за счет того, что медленные запросы позволяют выжрать больше ресурсов, не попадая под rate limit. При таймаутах в несколько секунд на запрос это уже не работает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	105. "Уязвимость в протоколе HTTP/2, задействованная в крупнейшей ..."	+/–
	Сообщение от Аноним (-), 11-Окт-23, 16:13
	> Вот только slow lori тут не при чем. Оно работает за счет > того, что медленные запросы позволяют выжрать больше ресурсов, не попадая под > rate limit. При таймаутах в несколько секунд на запрос это уже не работает. Таймауты в несколько секунд сами по себе - факапнут и загрузку легитимных файлов с вашего хоста клиентами, особенно не очень быстрыми. Но как уже было сказано, если цель решит добровольно сделать self destruct, это хоть и уменьшает моральное удовлетворение атакующего, но цель атаки все же достигается, а остальное не так уж и важно. Так что если целью было отвадить юзеров с вашего сервака, это при таких мерах - получится. Атакующий потом может вообще не тратить ресурсы и ржать откуда там ему удобно глядя на шоу.
	Ответить \| Правка \| Наверх \| Cообщить модератору