The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от opennews (??), 13-Авг-19, 23:58 
Исследователи из компаний  Netflix и Google выявили (https://github.com/Netflix/security-bulletins/blob/master/ad...)  в различных реализациях протокола HTTP/2 восемь уязвимостей, которые позволяют вызвать отказ в обслуживании через отправку определённым образом оформленного потока сетевых запросов. Проблемы в той или иной мере затрагивают большинство  HTTP-серверов с поддержкой HTTP/2 и приводят к исчерпанию   доступной для рабочего процесса памяти или созданию слишком высокой нагрузки на CPU. Обновления с устранением уязвимостей уже представлены в nginx 1.16.1/1.17.3 (http://mailman.nginx.org/pipermail/nginx-announce/2019/00024...) и H2O 2.2.6 (http://blog.kazuhooku.com/2019/08/h2o-version-226-230-beta2-...), но пока недоступны (http://www.apache.org/dist/httpd/) для Apache httpd и других продуктов (https://www.kb.cert.org/vuls/id/605641/).


Проблемы стали следствием внесённых в протокол  HTTP/2  усложнений, связанных с применением бинарных структур, системой лимитирования потоков данных внутри соединений, механизмом приоритезации потоков и наличия ICMP-подобных управляющих сообщений, работающих на уровне соединения  HTTP/2 (например, операции ping, сброса и настройки потока). Многие реализации должным образом не ограничивали поток управляющих сообщений, неэффективно организовывали работу очереди приоритетов при обработке запросов или использовали неоптимальные реализации алгоритмов управления потоком.


Большинство выявленных методов атаки сводятся к отправке на сервер определённых запросов, приводящих к генерации большого числа ответов. Если при этом клиент не читает из сокета данные  и не разрывает соединение, очередь буферизации ответов на стороне сервера непрерывно заполняется. Подобное поведение создаёт нагрузку на систему управления очередью обработки сетевых соединений и в зависимости от особенностей реализации приводит к исчерпанию доступной памяти или ресурсов CPU.


Выявленные уязвимости:


-  CVE-2019-9511 (Data Dribble) - атакующий запрашивает большой объём данных в несколько потоков, манипулируя размером скользящего окна и приоритетом потока,  принуждая сервер помещать данные в очередь блоками по 1 байту;
-   CVE-2019-9512 (Ping Flood) - атакующий непрерывно отравляет ping-сообщения через соединение HTTP/2, инициируя заполнение на другой стороне внутренней очереди отправленных ответов;

-  CVE-2019-9513 (Resource Loop) - атакующий создаёт несколько потоков запросов и непрерывно меняет приоритет потоков, вызывая перемешивание дерева приоритетов;

-  CVE-2019-9514 (Reset Flood) - атакующий создаёт несколько потоков
и отправляет через каждый поток некорректный запрос, вызывая отправку сервером кадров RST_STREAM, но не принимает их для  заполнения очереди ответов;
-  CVE-2019-9515 (Settings Flood) - атакующий отправляет поток пустых кадров "SETTINGS", в ответ на которые сервер обязан подтвердить получение каждого запроса;

-   CVE-2019-9516 (0-Length Headers Leak) - атакующий отправляет поток заголовков с нулевым именем  и нулевым значением, а сервер выделяет для хранения каждого заголовка буфер в памяти и не освобождает его до завершения сеанса;

-    CVE-2019-9517 (Internal Data Buffering) - атакующий открывает
скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держит окно TCP закрытым, что не позволяет фактически записать данные в сокет. Далее атакующий отправляет запросы, требующие большого ответа;
-  CVE-2019-9518  (Empty Frames Flood) - атакующий отправляет поток кадров типа DATA, HEADERS, CONTINUATION или PUSH_PROMISE, но с пустым полезным содержимым и без флага завершения потока. Сервер тратит время на обработку каждого кадра, непропорционально затраченной атакующим полосе пропускания.


URL: https://blog.cloudflare.com/on-the-recent-http-2-dos-attacks/
Новость: https://www.opennet.dev/opennews/art.shtml?num=51279

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +22 +/
Сообщение от Аноним (3), 14-Авг-19, 03:22 
>Многие реализации должным образом не ограничивали поток управляющих сообщений, неэффективно организовывали работу очереди приоритетов при обработке запросов или использовали неоптимальные реализации алгоритмов управления потоком

Вся суть современного IT: некогда оптимизировать, некогда тестировать, тяп-ляп и в продакшен!

Ответить | Правка | Наверх | Cообщить модератору

4. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +6 +/
Сообщение от Аноним (4), 14-Авг-19, 05:18 
То ли дело деды программировали. Всякие рекурсивные днсы, рипы и прочее до сих пор аукается.

Да и в самом http тоже всякого добра хватает, например, передача всех кук на каждый запрос, невозможность заменить gzip сжатие на что-то более адекватное и т.п.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +10 +/
Сообщение от Аноним (5), 14-Авг-19, 05:58 
Не всех кук, а только относящихся к текущему домену и пути. Деды не виноваты, что современные веб-девелоперы всегда ставят '/' в качестве пути для всех кук. Со сжатием то же самое - не вина дедов, что браузеры только gzip поддерживают.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

34. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (34), 14-Авг-19, 12:36 
Ограничение количества пересылаемых кук по путям, лишь немного ослабляют и оттягивают проблему.

Если браузер и так постоянно держит с сервером keep-alive соединение, то нафига на каждый гет пересылать все авторизационные куки?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

35. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +3 +/
Сообщение от Аноним (35), 14-Авг-19, 12:56 
В сравнении с мегабайтами джаваскрипта на чаждый чих -- все эти куки посто пыль.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +3 +/
Сообщение от Аноним (5), 14-Авг-19, 13:43 
Потому что путь нового гет может отличаться, соответственно и набор кук может быть иным. Потому что даже при том же пути набор и значение кук может измениться (яваскриптом или прямыми действиями пользователя).
И потому, что предназначение кук - вовсе не передача данных, используйте инструмент по назначению и всё будет нормально.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

46. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от Аноним (46), 14-Авг-19, 18:06 
Потому что HTTP - это stateless протокол, а keep-alive соединение - просто оптимизация. Сервер, с которым установлено соедиение, с большой вероятностью не обрабатывает запрос сам, а передает дальше, и твои запросы в рамках одного подключения могут обрабатываться разными процесссами, возможно на разных машинах. Если фронтенд (реверс-прокси) сам бы хранил все куки для твоего соединения, то для обслуживания сотен тысяч одновременных соденинений (nginx без проблем тянет такие цифры) потребовалось бы дохрена памяти. При этом нет никакой гарантии, что фронтенд поддерживает keep-alive соединение именно с тобой, а не с проксей, через которую ты ходишь в интернет - в последнем случае твоими куками мог бы воспользоваться другой пользователь прокси.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

8. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от anonnn (?), 14-Авг-19, 08:24 
что за бред с gzip? можно хоть zip, хоть бротли заюзать
походите по крупным сайтам, там поголовно почти везде brotli вместо gzip
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от Аноним (34), 14-Авг-19, 12:29 
Изначально гугловцы так и сделали. Потом оказалось, что в мире слишком много проксей, которые или криво сконфигурированы или в принципе аппаратные и не могут быть перенастроены, которые, встречая не гзипнутый трафик, гзипуют его и перезатирают хедеры.

В итоге, на клиент приходит каша из сжатого дважды трафика и неверными хедерами.

Помучавшись с этим, гугловцы откатили поддержку других типов сжатий из http, оставив его только для https.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

48. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от letsmac (ok), 15-Авг-19, 00:25 
Аппаратный прокси? Это как? Или просто железка с устаревшей прошивкой?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

54. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (54), 16-Авг-19, 12:55 
> Или просто железка с устаревшей прошивкой

Не просто "железка с устаревшей прошивкой", а неподдерживаемая, но еще работающая "железка с устаревшей прошивкой", новой прошивки для которой скорее всего никогда уже не будет, но заменить которую стоит много американских денег :(

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

55. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от letsmac (ok), 19-Авг-19, 14:48 
>>но заменить которую стоит много американских денег :(

Поминусуют конечно - но это просто косяк в изначальной концепции. Кто-то купил в архитектуру "странную" железку без контракта на апдейт/техсаппорт и потом все страдают. Типичный случай.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

9. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +3 +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Авг-19, 08:32 
>невозможность заменить gzip сжатие на что-то более
> адекватное и т.п.

Это когда 99% http-трафика http://techrights.org/2019/08/10/making-the-web-light/
- ненужный мусор?

Да! Есть такая проблема.  В http, ога.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

41. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от ы (?), 14-Авг-19, 14:38 
Если бы http разрабатывался по современным нормам (кратко: бизнес не ждёт, агиль быстрее!1), проблем было бы на порядок больше. Если бы он вообще удался, ведь в моде ещё и federated.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

56. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Урри (?), 19-Авг-19, 14:53 
Весь веб через жoпу сделан.
Например, вебсокеты разрабатывали какие-то недоделанные студенты - там если rfc почитать, то можно все лицо себе фейспалмом разбить.

Например: при аутентификации надо взять какую-нибудь случайную строку и сделать из нее base64, который уже пересылается на сервер. И, внимание, после всех манипуляций проверка идет по этой строке - никто обратно base64 не декодирует.
Внимание, вопрос: почему тогда не написали "сгенерируйте строку из символов 1-9a-z="? Все просто - потому, что "уяк, уяк и в продакшен", так как даже не потрудились вычитать текст "стандарта" после того как, очевидно, удалили лишнюю проверку строки.
А таких примеров - масса. Я когда писал демон вебсокет<->сокет, два месяца на веб глядеть не мог, так тошнило от этой криворукости.

Или вот GUID (требование RFC - "сгенерируйте GUID"), который именно гуид - но, внимание, нигде нету требования что-то из него вытаскивать или проверять. Он используется просто как текстовая строка!!!
Я спокойно юзал слово "your-*ucking-monkeys" вместо гуида, и оно работало везде.

Так что ни разу не удивлен, да. Скорее странно что раньше не раскопали.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (15), 14-Авг-19, 11:06 
Пока ты писал свой идеальный код под Дос, вышел windows 10
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

24. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от пох. (?), 14-Авг-19, 11:53 
а нельзя ли его затолкать туда, откуда он "вышел", и чопик, чопик вбить в эту задницу индусскую - чтоб больше не выходил?

И вернуть семерку, которая, хотя бы, не менялась каждый день.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Авг-19, 12:06 
> а нельзя ли его затолкать туда, откуда он "вышел", и чопик, чопик
> вбить в эту задницу индусскую - чтоб больше не выходил?
> И вернуть семерку, которая, хотя бы, не менялась каждый день.

Конечно, нельзя.  _Ты_ же уже за _это_ заплатил.

Или ты против Рынка???  :-O

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  –1 +/
Сообщение от пох. (?), 14-Авг-19, 12:20 
в смысле? Я-то как раз за семерку им платил - за десятку и жаба душила бы, и, в общем не нужно низачем - везде где пользуюсь, она досталась бесплатно без смс.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  –1 +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Авг-19, 12:35 
>она досталась бесплатно без смс.

Уговорил.  Не заплатил.  Зато как славно отрабатываешь :-p

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

43. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (43), 14-Авг-19, 14:59 
Жаба гадюку... Аксиома Эскобара прямо какая-тою
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

18. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от Аноним (18), 14-Авг-19, 11:30 
Не вали на разработчиков. Такой переусложнённый протокол невозможно реализовать, не накосячив.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Авг-19, 11:41 
> Не вали на разработчиков. Такой переусложнённый протокол невозможно реализовать, не накосячив.

АНБ закладки уровня протокола.   Норм, чо.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  –1 +/
Сообщение от пох. (?), 14-Авг-19, 11:54 
и зачем они рвались его реализовывать? Иначе гугель выкинет за борт?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

40. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от Аноним (40), 14-Авг-19, 13:49 
Они специально его переусложнили. А теперь виноваты кто угодно кроме них. А те кто решили переусложненный протокол реализовавать сообщники.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

53. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (53), 16-Авг-19, 02:31 
Когда rfc приняли, уже поздно, приходится делать что есть.

А приняли, потому что Гугл пропихнул.

В той же рассылке nginx критики протокола было много. Но он решает насущную проблему с оверхедом на хендшейки, соответственно экономит проц, соответственно экономит деньги, так что куда деваться.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

20. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  –1 +/
Сообщение от Нанобот (ok), 14-Авг-19, 11:43 
>Вся суть современного IT: некогда оптимизировать, некогда тестировать, тяп-ляп и в продакшен!

звучит как ворчание старого пердуна

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

22. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +2 +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Авг-19, 11:50 
>>Вся суть современного IT: некогда оптимизировать, некогда тестировать, тяп-ляп и в продакшен!
> звучит как ворчание старого пердуна

не перж*ж молодого девляпяпса - и ладно

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

44. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  –2 +/
Сообщение от Аноним (43), 14-Авг-19, 15:12 
Вали на гофер и не газифицируй больше наш мелкий водоём.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

51. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от KonstantinB (ok), 15-Авг-19, 17:47 
Вот не надо. В nginx http/2 тестировали ОЧЕНЬ долго.

Просто это очень переусложненный протокол, сложность просто катастрофическая. Вот до такого способа DoS-а только что догадались, а ведь протокол существует уже давно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

1. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  –1 +/
Сообщение от Аноним (1), 13-Авг-19, 23:58 
Шерето! Для хипсторов, в общем. Пусть побетатестят для нас, а мы потом как-нибудь заюзаем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +25 +/
Сообщение от axredneck (?), 14-Авг-19, 00:22 
> CVE-2019-9512 (Ping Flood)

Люблю их музыку

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +13 +/
Сообщение от EuPhobos (ok), 14-Авг-19, 06:23 
>> CVE-2019-9512 (Ping Flood)
> Люблю их музыку

Особенно хорош их альбом "fire Wall"

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +17 +/
Сообщение от Аноним (7), 14-Авг-19, 07:47 
All in all you just another port in the firewall.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +3 +/
Сообщение от Кредит (?), 14-Авг-19, 09:35 
Отлично разогнали мужики!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

47. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +3 +/
Сообщение от macfaq (?), 14-Авг-19, 21:46 
Строчку "we don't need no education" можно не переписывать.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (10), 14-Авг-19, 09:31 
Netty уже поправили: https://netty.io/news/2019/08/13/4-1-39-Final.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (12), 14-Авг-19, 09:41 
Envoy, Golang тоже пофиксили
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (13), 14-Авг-19, 09:54 
> атакующий открывает скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держит окно TCP закрытым

Бугагагага. Ибо нефиг тащить в протокол уровня приложения функции протокола транспортного уровня.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Fyjybv755 (?), 14-Авг-19, 10:53 
А то, что там уже давно реализованы функции сеансового уровня (TLS), вас не смущает?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (18), 14-Авг-19, 11:25 
Это хотя бы можно оправдать потребностью в обратной совместимости.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от пох. (?), 14-Авг-19, 11:55 
наоборот же ж - это ничем оправдать нельзя, и никакой совместимости там в помине нет.

обратная совместимость - в starttls.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Нанобот (ok), 14-Авг-19, 11:50 
разделение на уровни условно и придумано самими человеками с целью упрощения понимания/описания сложных систем. и хотя от него больше пользы, чем вреда, но фанатичная вера в непоколебимость этих  разделений ни к чему хорошему не приведёт
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

37. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от Аноним (13), 14-Авг-19, 13:23 
Разделение имеет своим обоснования. Опровергнуть их аргументами кроме "фанатичной веры", как видно, Вам нечем.
Что же касается данного случая, прививка генов бульдога носорогу привела к необходимости принимать дополнительные меры по синхронизации потока на уровнях HTTP и TCP.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

50. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от letsmac (ok), 15-Авг-19, 00:33 
>>необходимости принимать дополнительные меры по синхронизации потока на уровнях HTTP и TCP.

Как HTTP к TCP относиться? Они вроде как разного уровня.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

52. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (52), 15-Авг-19, 22:17 
Вот именно. Разного уровня, а в http встроили функционал, за который который отвечает TCP. В результате:
> CVE-2019-9517 (Internal Data Buffering) - атакующий открывает скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держит окно TCP закрытым, что не позволяет фактически записать данные в сокет
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

49. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от letsmac (ok), 15-Авг-19, 00:27 
Согласен процентов на 80. Если бы сделали udp с удержанием соединения - это потребовало бы намного больше затрат. На ipv6 уже лет 20 переходят.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +3 +/
Сообщение от Матаноним (?), 14-Авг-19, 11:19 
Потому что HTTP/2 - это как systemD от мира протоколов. Осталось protobuf и gRPC прямо в стандарт вхреначить, чтоб уж полный комплект. Чорт, теперь точно вхреначат.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от пох. (?), 14-Авг-19, 11:56 
погодите, они разьве еще не в quiRk ?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

28. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Авг-19, 11:57 
> Потому что HTTP/2 - это как systemD от мира протоколов.

Гугль продавил на хайпе свою реализацию переусложнённого непознаваемого хлама, заражающегои и поражающего всё, к чему прикасается, не пригодную для кооперативной, совместной разработки, в кач-ве стандарта и монополии?

Нет, совсем не похоже на s-d.  Роль Микрософта не раскрыта.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

31. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +1 +/
Сообщение от пох. (?), 14-Авг-19, 12:24 
> Гугль продавил на хайпе свою реализацию переусложнённого непознаваемого хлама,

ну, вообще-то, как ни странно - да. С мордокнижкой на пару - поскольку решает проблемы в основном нового-модного-централизованного инета с тремя сайтами для всех.

Пока еще не монополия, но ждем-с выпиливания 1.x из браузера под каким-нибудь высосанным из пальца предлогом.

> Роль Микрософта не раскрыта.

а в штаны...systemd нам - это тоже microsoft нас...л ?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Andrey Mitrofanov_N0 (??), 14-Авг-19, 13:10 
>> Роль Микрософта не раскрыта.
> а в штаны...systemd нам - это тоже microsoft нас...л ?

Вам-то?  Вы сами-то  не следили за штанишками, когда "бисплатно биз смс"?   Ну, ничего-ничего-ничего: один расс не зюстем-двас.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +/
Сообщение от Аноним (40), 14-Авг-19, 13:47 
Опубликовали фичи которые они и так знали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  +2 +/
Сообщение от Ivan_83 (ok), 14-Авг-19, 14:46 
Вот что бывает когда страдают фигнёй.
Полгаю там каждый год теперь будут находить по паре критических багов в реализациях ещё лет 10, как было с остальными бинарными протоколами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязв..."  –1 +/
Сообщение от пох. (?), 14-Авг-19, 17:04 
не надейся - это устаревший никому не нужный подход.
через год все уже забудут этот http2 и его проблемы, поскольку будут заняты переходом с немодного, надоевшего, и вот, кстати, уязвимость quic на quic5


А для открытий ссылок http:// - используйте ftp клиенты, файловый менеджер - короче, для чтения текста в интернете используйте что угодно, кроме браузеров, браузеры, они для другого.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру