Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

SMTP Smuggling - новая техника спуфинга почтовых сообщений, opennews (??), 22-Дек-23, (0) [смотреть все] какой-то булшит, гнать из профессии, Аноним (1), 00:04 , 22-Дек-23, (1) +5 // Согласен Законодательно применить n и закрыли тему А заголовок Content-Length , Аноним (16), 06:10 , 22-Дек-23, (16)   // Не Content-Length, не разбирает SMTP сам по себе никаких заголовков Добавить DAT, Tron is Whistling (?), 09:23 , 22-Дек-23, (24)   // ну и естественно без DATALEN больше одного сообщения за заход не пускать , Tron is Whistling (?), 09:25 , 22-Дек-23, (26) +1   Поддерживаю, раз на парсют письмы Кто-нить займити джуна какого-нить пщай оформи, Аноним (72), 03:24 , 23-Дек-23, (72) –1   1Даже шокирует то, что диды , пися всё на Сях, так ТУПО спроектировали протоко, Аноним (80), 15:38 , 23-Дек-23, (80) –3   Да, надо было на жабоскриптах писать, желательно всё с нпмочки стянув Но вот про, Tron is Whistling (?), 22:40 , 23-Дек-23, (83) +1   На самом деле этот протокол никто долго не проектировал - его слепили из того, ч, Tron is Whistling (?), 22:42 , 23-Дек-23, (84) +1   Давно есть chunking и BDAT, но опционально , anonymous (??), 15:08 , 22-Дек-23, (50)   // Ух ты, пропустил это расширение Ну вот его и оставить, причём запретив пайплайни, Tron is Whistling (?), 15:23 , 22-Дек-23, (53)   Тогда передача между почтовыми серврами и gw-ями будет тормозить, all_glory_to_the_hypnotoad (ok), 16:50 , 22-Дек-23, (59) +1   Это было актуально при модемах На текущих скоростях и делеях сотню соединений вм, Tron is Whistling (?), 23:32 , 22-Дек-23, (69)   это я тебе как сидящий возле достаточно большого почтовика вещаю, сквозь которы, Tron is Whistling (?), 23:34 , 22-Дек-23, (70)   покажи свой smtp-сервер, который сделан строго по стандарту u-блюдочному кстати, лютый жабби... (?), 08:30 , 22-Дек-23, (21) –6 // ой, кармадрючеры обиделись много тут писателей smtp серверов-то на расте, к, лютый жабби... (?), 12:45 , 22-Дек-23, (36) –2 // А зачем кому-то писать такую скучную вещь как smtp сервер , Аноним (40), 13:41 , 22-Дек-23, (40) +1 Ты первый , Аноним (35), 11:59 , 22-Дек-23, (35) Прекрасный стандарт Можно и так трактовать и эдак, удобненько А главное все про, Аноним (-), 00:10 , 22-Дек-23, (2) –1 // Нельзя Просто в отдельные почтовые сервера зачем то доложили совместимостей нико, Ivan_83 (ok), 00:27 , 22-Дек-23, (3) +7 // потому что почта должна ходить И принимать все, отправлять - соблюдая станда, нах. (?), 08:58 , 22-Дек-23, (23) // x 400Почитал, интересно, kusb (?), 10:56 , 22-Дек-23, (33) Если бы к CRLF CRLF не понагородили алиасов - ничего бы не случилось, лишь пара , Ivan_83 (ok), 14:37 , 22-Дек-23, (44) +1 smtp как стандарт почты - не случилось бы Именно потому что тогда ВСЕ типы были, нах. (?), 16:30 , 24-Дек-23, (86) В стандарте чётко оговорено, какой разделитель Это всё ещё отголоски войны carr, Аноним (5), 00:31 , 22-Дек-23, (5) +5 JSON-чики это тоже plain text Нужно делать как сделали с HTTP 2, т е делать но, all_glory_to_the_hypnotoad (ok), 01:15 , 22-Дек-23, (8) –2 // Бинарные протоколы очень плохо заходят в индустрию Есть с десяток основных бинар, Ivan_83 (ok), 04:09 , 22-Дек-23, (15) +1 // Регулярно подвергаюсь кенселенгу на опенет за то что ругаю бинарные протоколы, п, ОШИБКА Отсутствуют данные в поле Name (?), 11:51 , 22-Дек-23, (34) +1 Я не говорил что они плохие, я говорил что бинарные протоколы очень сложно заход, Ivan_83 (ok), 14:34 , 22-Дек-23, (42) Для HTTP 1 очень даже нужно прогать на серверной части, и довольно долго и аккур, all_glory_to_the_hypnotoad (ok), 15:03 , 22-Дек-23, (48) +1 12299 питоновских structЯсно, уносите этого в 10-ю палату , scriptkiddis (?), 15:18 , 22-Дек-23, (51) +2 В мусоропровод с , нах. (?), 16:32 , 24-Дек-23, (87) Я писал про клиента, но и серверу для простых вещей много ума не надо Не знаю ни, Ivan_83 (ok), 19:04 , 22-Дек-23, (65) Важное преимущество этих протоколов состоит также в том, что их много Если рань, ОШИБКА Отсутствуют данные в поле Name (?), 16:50 , 22-Дек-23, (60) +2 То то программы в индустрии все не бинарники, процессоры прямо текст исполняют , Neon (??), 13:33 , 22-Дек-23, (39) В индустрии прогают люди, людям проще прочитать текст и написать текст а не зани, Ivan_83 (ok), 14:35 , 22-Дек-23, (43) Это было справедливо в какие-то 80-ые, когда ещё можно было попробовать глазами , all_glory_to_the_hypnotoad (ok), 14:53 , 22-Дек-23, (45) Тем не менее бинарные протоколы всё ещё плохо заходят Тот же nginx имеет реализа, Ivan_83 (ok), 15:00 , 22-Дек-23, (46) Можешь сколько угодно САМ СЕБЯ убеждать, что бинари - рулез, но практика и моя , Аноним (80), 15:31 , 23-Дек-23, (79) Согласился бы, не будь таких же приколов с JSON из-за разницы в стандартах , Чукча (?), 03:49 , 22-Дек-23, (14) Это примерно половина почтовых серверов Из крупных похоже только exim оказался , Аноним (4), 00:31 , 22-Дек-23, (4) +1 // Exim топчик, Вася (??), 00:57 , 22-Дек-23, (6) +1 // Axa https www cvedetails com vulnerability-list vendor_id-10919 product_id-1, OpenEcho (?), 01:26 , 22-Дек-23, (9) +2 // Error 1009Access deniedчто за говно , Аноним (41), 13:45 , 22-Дек-23, (41) УМВР, наверное ты с неправильного интернета смотришь На попробуй другую ссылку n, Анонимусс (?), 15:01 , 22-Дек-23, (47) Нацональностью не вышел , Аноним (67), 21:44 , 22-Дек-23, (67) –1 паспортом Дискриминация по национальному признаку - позапрошлый век и уже немод, нах. (?), 16:36 , 24-Дек-23, (88) Ты еще скажи, что паспорта и разрешение на вьезд а не на выезд - это плохо , Аноним (-), 17:38 , 24-Дек-23, (92) exim топовое шерето, Аноним (13), 02:43 , 22-Дек-23, (13) +2 Астрологи объявляют неделю расщеплений сначала Terrapin, теперь ещё и Smuggling, BratishkaErik (ok), 01:14 , 22-Дек-23, (7) // И самое главное ведь как всегда - к праздничкам подарунчик пока админы бухают, OpenEcho (?), 01:27 , 22-Дек-23, (10) A Sec Consult козлики могли бы сперва оповестить вендоров, как это принято, н, OpenEcho (?), 01:36 , 22-Дек-23, (11) +1 // Они то предупредили Все претензии к автору перевода, который поленился об этом , kazh (?), 02:38 , 22-Дек-23, (12) +1 // Предупредили Прям перед праздниками, в то время когда любая нормальная секьюрити, OpenEcho (?), 07:05 , 22-Дек-23, (17) // Скрыто модератором, Аноним (-), 12:54 , 22-Дек-23, (37) +1 Скрыто модератором, OpenEcho (?), 17:58 , 22-Дек-23, (62) На самом деле они подождали, пока уважаемые люди тм пофиксили, проблемы осталь, Аноним (38), 13:18 , 22-Дек-23, (38) // Вот поэтому - и козлы, OpenEcho (?), 18:04 , 22-Дек-23, (63) Wietse Venema, очередной раз - респект https www postfix org smtp-smuggling h, OpenEcho (?), 07:19 , 22-Дек-23, (19) +1 // Это частичное решение, которое при должной настойчивости можно обойти А менно, , Имя (?), 15:48 , 22-Дек-23, (56) // Какой нахрен пакет в TCP Для нудных да, TCP разбивается на пакеты при отправке, Аноним (61), 17:39 , 22-Дек-23, (61) Лучше, - чем ничего, OpenEcho (?), 18:06 , 22-Дек-23, (64) кортинге нигрузяца, Аноним (66), 19:23 , 22-Дек-23, (66) Заглянул на почтовики, reject_unauth_pipelining добавлено с какого-то там борода, Tron is Whistling (?), 08:41 , 22-Дек-23, (22) +1 // Заглянул на почтовики, увидел что хоть reject_unauth_pipelining присутствует с к, San (??), 09:24 , 22-Дек-23, (25) // А смысл Пока достаточно предотвращения pipelining в процессе обработки данных П, Tron is Whistling (?), 09:27 , 22-Дек-23, (27) // Мне кажется, что эти директивы все-таки немного разного назначенияОдна проверяет, San (??), 09:56 , 22-Дек-23, (29) +1 В любом случае обе можно обойти, авторизовавшись и выровняв пайплайн по границе , Tron is Whistling (?), 10:05 , 22-Дек-23, (31) Первая запрещает слать DATA в пайплайн, вместе с другими командами, не отдельным, Tron is Whistling (?), 10:09 , 22-Дек-23, (32) Всегда использовали 0 и не было никаких проблем, зачем придумали эту абракадабр, ИмяХ (ok), 09:58 , 22-Дек-23, (30) +1 // Правда что ли 0 не текст, что является проблемой для текстового протокола, да , Аноним (1), 10:11 , 23-Дек-23, (74) в hello, world ах Там да, там и повезти могло А в индустрии решения хуже n, User (??), 09:36 , 25-Дек-23, (93) Испытываю странные ощущения - настоящим почтовиком занимался в 10-е годы, сейчас, abu (?), 15:05 , 22-Дек-23, (49) // Да всем Потому что разосланный этим способом спам и тебе придёт, в том числе , Tron is Whistling (?), 15:25 , 22-Дек-23, (54) // С такой точки зрения - действительно так и есть , abu (?), 03:17 , 23-Дек-23, (71) Уж сколько раз твердили миру in-band signalling - смертельный грех Но только в, Аноним (55), 15:33 , 22-Дек-23, (55) Не уловил в чём проблема Ну один сервак считает это одним письмом, второй счита, Аноним (57), 16:18 , 22-Дек-23, (57) +1 // Неа Основная проблема вот в чем второе письмо может быть отправлено от имени по, Аноним (-), 16:49 , 22-Дек-23, (58) –1 // Так а сервак почему не проверяет от кого второе письмо Он проверяет только перв, Аноним (57), 21:51 , 22-Дек-23, (68) +1 // Какому хакеру Куда подключиться Допустим ты подключаешься на сервер, проходишь , EuPhobos (ok), 10:18 , 23-Дек-23, (75) Это же smtp поднимите у себя сервер и отправляйте хоть по миллиону писем в секу, ыы (?), 13:05 , 23-Дек-23, (76) Ты либо троллишь, либо никогда не поднимал такой сервер , Аноним (82), 19:13 , 23-Дек-23, (82) +3 Ну так проблема у несоответствующих клиентов, зачем поддерживать несоответствие,, EuPhobos (ok), 10:07 , 23-Дек-23, (73) то есть проблема в том что в этом случае подделывается поле не только From , но, ыы (?), 13:19 , 23-Дек-23, (77) +1 // SPF, Аноним (85), 07:38 , 24-Дек-23, (85) п-дюли, как ни странно А в этом случае - все следы закончатся на ТВОЕМ сервере И, нах. (?), 16:39 , 24-Дек-23, (89) 1,2,4,7,11,19,22,30,49,55,57,73,77

Сообщения

[Сортировка по времени | RSS]

	16. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Аноним (16), 22-Дек-23, 06:10
	Согласен. Законодательно применить \n и закрыли тему. А заголовок Content-Length сделать обязательным. Тогда и "." ждать не нужно.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Tron is Whistling (?), 22-Дек-23, 09:23
	Не Content-Length, не разбирает SMTP сам по себе никаких заголовков. Добавить DATALEN <x> в протокол и забыть.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от Tron is Whistling (?), 22-Дек-23, 09:25
	(ну и естественно без DATALEN больше одного сообщения за заход не пускать)
	Ответить | Правка | Наверх | Cообщить модератору

	72. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	–1 +/–
	Сообщение от Аноним (72), 23-Дек-23, 03:24
	Поддерживаю, раз на парсют письмы. Кто-нить займити джуна какого-нить пщай оформит RFC-у и иму профит в карму и старикам приятно =)
	Ответить | Правка | Наверх | Cообщить модератору

	80. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	–3 +/–
	Сообщение от Аноним (80), 23-Дек-23, 15:38
	+1 Даже шокирует то, что "диды", пися всё на Сях, так ТУПО спроектировали протокол. Очевидно же, что Сишная программа убога по возможностям прокидывания больших объёмов - в них каждый байт на счету, malloc/free и всё такое. Поэтому ЗАРАНЕЕ знать размер получаемых данных - это ОГРОМНЫЙ плюс при обработке! Но нет, эти кретины придумали текстовую точку(!!!!!!!!!) для окончания текста, в котором самом полно точек!!! *фэйспалм.ави 500ГБ*
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	83. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от Tron is Whistling (?), 23-Дек-23, 22:40
	Да, надо было на жабоскриптах писать, желательно всё с нпмочки стянув. Но вот проблема - ни жабоскрипта, ни нпм у них не было. Да и мозгов было побольше.
	Ответить | Правка | Наверх | Cообщить модератору

	84. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от Tron is Whistling (?), 23-Дек-23, 22:42
	На самом деле этот протокол никто долго не проектировал - его слепили из того, что было, чтобы хоть как-то работало. Заря интернетиков, фтн, гнилой ууцп, все дела. А потом оно просто уже стало везде, и поменять что-то стало сложно. Тут лучше поблагодарить тех, кто не стал следовать стандарту, а начал пихать нестандартные варианты терминаторов так, что под них пришлось адаптироваться.
	Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

	50. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от anonymous (??), 22-Дек-23, 15:08
	Давно есть chunking и BDAT, но опционально.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	53. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Tron is Whistling (?), 22-Дек-23, 15:23
	Ух ты, пропустил это расширение. Ну вот его и оставить, причём запретив пайплайнинг множества сообщений, до окончания данных и получения ответа новых команд слаться не должно, хотя это в RFC описать забыли. А для DATA оставить возможность отправки только одного сообщения за сеанс.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от all_glory_to_the_hypnotoad (ok), 22-Дек-23, 16:50
	Тогда передача между почтовыми серврами и gw-ями будет тормозить
	Ответить | Правка | Наверх | Cообщить модератору

	69. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Tron is Whistling (?), 22-Дек-23, 23:32
	Это было актуально при модемах. На текущих скоростях и делеях сотню соединений вместо одного для передачи почты просто не заметишь.
	Ответить | Правка | Наверх | Cообщить модератору

	70. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Tron is Whistling (?), 22-Дек-23, 23:34
	(это я тебе как сидящий возле достаточно большого почтовика вещаю, сквозь который миллионы писем в сутки проходят... у меня между gw и серверами как раз выставлено максимум 1 сообщение, но немножко по-другим околотехническим причинам)
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема