The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы"  +/
Сообщение от opennews (??), 07-Авг-21, 12:32 
Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту  атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое  запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55601

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –11 +/
Сообщение от Аноним (1), 07-Авг-21, 12:32 
Ой, ну надо же, http взломали, как удивительно. (Нет.)
Ответить | Правка | Наверх | Cообщить модератору

28. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +5 +/
Сообщение от Аноним (28), 07-Авг-21, 18:05 
> Атака может быть использована для подстановки вредоносного JavaScript-кода

Ой, ну надо же отключать JS.

Ответить | Правка | Наверх | Cообщить модератору

83. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +2 +/
Сообщение от Аноним (-), 08-Авг-21, 12:32 
Идея хорошая, но вебмакаки понаделали js-only крапа. И кстати это не поможет от приколов когда бэкэнд сливает вам ответ для совсем другого юзера, например. Так что кто-то может стырить кучу инфо о посторонних юзерах и их запросах. Судя по описанию - при удачном раскладе могут даже номера чужих кредиток или какие-нибудь секретные коды присылать на раз.

p.s. LOL! LOL! LOL! LOL! TROLL! TROLL! TROLL! TROLL!

Исследователей с их рыготой самих в процессе поимели, как и пентестеров с этим нечто :)

We have updated Burp Suite's embedded browser to fix a clickjacking-based remote code execution bug in Burp Suite 

Ответить | Правка | Наверх | Cообщить модератору

33. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –7 +/
Сообщение от хакер (?), 07-Авг-21, 19:57 
интересно кто самый дырявый - си или js
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

42. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +12 +/
Сообщение от ананим.orig (?), 07-Авг-21, 20:52 
прокладку не рассматриваешь?
а ник у тебя - просто "лэйбла" такая?
Ответить | Правка | Наверх | Cообщить модератору

71. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от And (??), 08-Авг-21, 11:53 
Скорее всего проблема в помойке node репо библиотек для JS и культуре коммерческой разработки.

За что чмырят JS, это часто даёт похожее на сабж: дописали "клёвую" дублирующую функциональность не имея опыта и желания. Дубляж функциональности и разделение/трансформирование старого-нового - хороший и известный признак для поиска уязвимости.

Ответить | Правка | Наверх | Cообщить модератору

86. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (-), 08-Авг-21, 12:37 
А может быть проблема в том что не надо код писать ж@пой, качая половину интернета, от хрен знает кого, писаного хрен знает как? А еще неплохо бы использовать мозг при написании программ.

Это касается вообще любого ЯП. И даже как видим не только яп. Упомянутая проблема на ЯП не завязана и возникает из-за гейтования протоколов. Свойства протоколов довольно разные, и на их стыке случается весьма интересное взаимодействие, когда первые понимают вторых не так как задумано. Это очень старый класс багов, не очень известный, но потенциально очень мощный по эффектам. Подобный класс багов позволяет обмануть системы на тему того с кем они имеют дело и левай Вася может быть на раз принят за админа, например.

Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  +11 +/
Сообщение от Anonymouse (?), 07-Авг-21, 12:36 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +7 +/
Сообщение от OnTheEdgeemail (ok), 07-Авг-21, 12:40 
Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором  +4 +/
Сообщение от Аноним (16), 07-Авг-21, 13:34 
Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором  –5 +/
Сообщение от Аноним (19), 07-Авг-21, 13:49 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +1 +/
Сообщение от Admin (??), 07-Авг-21, 13:40 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Онаним (?), 07-Авг-21, 12:38 
Уродство HTTP/2 таки выстрелило.
То ли ещё будет с HTTP/много, которые вообще не HTTP.
Ответить | Правка | Наверх | Cообщить модератору

11. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +9 +/
Сообщение от Аноним (11), 07-Авг-21, 13:08 
Так-то выстрелило уродство HTTP1, если почитать новость.
Ответить | Правка | Наверх | Cообщить модератору

14. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Онаним (?), 07-Авг-21, 13:15 
Выстрелило уродство трансляции полубинарного уродства SPDY в HTTP.
Ответить | Правка | Наверх | Cообщить модератору

22. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 07-Авг-21, 14:53 
О да, лучше нормальный plain-text HTTP, от которого, правда, все отказались в пользу HTTPS, в котором из текста только вызов метода CONNECT.
Ответить | Правка | Наверх | Cообщить модератору

30. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –10 +/
Сообщение от Michael Shigorinemail (ok), 07-Авг-21, 19:13 
Да-да-да, стройными колоннами побежали и отказались, никто не "стимулировал".
Ответить | Правка | Наверх | Cообщить модератору

87. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 08-Авг-21, 12:39 
А кто стимулировал? Серваки заимплементившие фичу и повышение скорости загрузки сайтов? Вот уж зло вселенское.
Ответить | Правка | Наверх | Cообщить модератору

120. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 14:32 
> Серваки заимплементившие фичу и повышение скорости загрузки сайтов?

Verisign, без вопросов отбирающий домены у оппозиционных СМИ.
Cloudflare, который немного навязчиво продвигает свои услуги (на предыдущей работе нам сначала прилетела DDoS-атака, а через пару дней - коммерческое предложение от этой милой компании).

Ответить | Правка | Наверх | Cообщить модератору

128. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:09 
> Verisign, без вопросов отбирающий домены у оппозиционных СМИ.

Это как? И что этим СМИ мешает хостить сайты где-нибудь подальше от такой фирмы, особенно после зашквара? С соответствующим уроном кошельку оной, бонусом. Общая тупизна реднеков, если это про трампистов?

> Cloudflare, который немного навязчиво продвигает свои услуги

Клауд спайварь конечно та еще дрянь, но вот именно прийти с пистолетом и потребовать их юзать она не может.

> (на предыдущей работе нам сначала прилетела DDoS-атака,
> а через пару дней - коммерческое предложение от этой милой компании).

Ну, если вы сколь-нибудь крупные и не умеете нанимать нормальных архитектов, кодеров и админов - мир жесток, да. А DDOS может даже школьник сэкономиший на завтраках закахать, и если у вас на этот счет совсем плана не было - у вас херовая инфраструктура, что для чего-то похожего на компанию гребаный стыд.

Ответить | Правка | Наверх | Cообщить модератору

39. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 07-Авг-21, 20:43 
Внутри хытыпысы внезапно всё тот же гипертекстовый фидонет.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

53. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 01:22 
То есть, если внутри бинарного кода буквы, то он уже не бинарный? Ну тогда и HTTP/2 тоже небинарный (аки гендер у гражданина свободной страны).
Ответить | Правка | Наверх | Cообщить модератору

59. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 09:16 
Ты не понял.
SSL при обработке 1:1 разворачивается до исходного протокола, являясь только трансформацией.
Ответить | Правка | Наверх | Cообщить модератору

81. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 12:27 
То есть, если я в SNI напишу левое имя хоста, это никак не повлияет на работу HTTP?
Ответить | Правка | Наверх | Cообщить модератору

105. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:39 
Нет. Только на согласование соединения.
HTTP внутри декриптится до исходного в любом случае - БЕЗ изменений.
Ответить | Правка | Наверх | Cообщить модератору

114. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 14:13 
Получается, SNI на практике ни на что не влияет, а значит - вообще не нужен?
Вот это новость!
Ответить | Правка | Наверх | Cообщить модератору

123. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 19:29 
Сфейспалмил.
SNI к HTTP - ВНЕЗАПНО - не имеет никакого отношения :D
Ответить | Правка | Наверх | Cообщить модератору

129. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:12 
> Сфейспалмил.
> SNI к HTTP - ВНЕЗАПНО - не имеет никакого отношения :D

Веб сервак может иметь свое мнение на этот счет. И кстати интересно, не вылезет ли там где-нибудь desync на тему того что поимело приоритет в фронте и бэке. Выглядит как еще одно необтоптаное поле для грабель.

Ответить | Правка | Наверх | Cообщить модератору

142. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 12:19 
>> Сфейспалмил.
>> SNI к HTTP - ВНЕЗАПНО - не имеет никакого отношения :D
> Веб сервак может иметь свое мнение на этот счет. И кстати интересно,
> не вылезет ли там где-нибудь desync на тему того что поимело
> приоритет в фронте и бэке. Выглядит как еще одно необтоптаное поле
> для грабель.

Веб сервак обычно только правильный сертификат подбирает, смотря на SNI.

Ответить | Правка | Наверх | Cообщить модератору

102. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (102), 08-Авг-21, 13:32 
> SSL при обработке 1:1 разворачивается до исходного протокола, являясь только трансформацией.

Не обязательно. См. пример на том сайте как это bitbucket делал, там могли бэку подшить еще сервисные хидеры с данными TLS, типа сертификата клиента и прочих "внутренних" вещей. Кроме того оно умеет всякие вещи типа ALPN. А heartbleed так то показал что оно умеет и много чего еще кроме "только трансформаций".

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

106. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:40 
Подшивать к TLS можно чего угодно - проблемы ССЗБ шерифа не волнуют.
Важно то, что контент из TLS сдекриптится до исходного неизменного HTTP, SMTP или чего там у вас завёрнуто, т.е. исходный контент TLS не видоизменяет.
Ответить | Правка | Наверх | Cообщить модератору

130. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:15 
> Подшивать к TLS можно чего угодно - проблемы ССЗБ шерифа не волнуют.

Однако вон те хаксоры вполне себе стырили внутренние хидеры и в конце концов тоже отымели.

> Важно то, что контент из TLS сдекриптится до исходного неизменного HTTP, SMTP
> или чего там у вас завёрнуто, т.е. исходный контент TLS не видоизменяет.

Однако дополнительных свойств и параметров отрастает и то что к суммарной обработке этого сервером нельзя DESYNC применить - да в общем то не факт. Скажем с SNI можно наверное попытаться и посмотреть, где что приоритетнее. Например, Host: vs SNI наверное может быть использовано для unexpected реакции софта типа фронтов, прокси, ssl терминаторов и проч.

Ответить | Правка | Наверх | Cообщить модератору

107. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:41 
А вот из H2 H1 простой трансформацией уже не получить, что и есть источник проблемы - при преобразовании H2 в H1 "есть один нюанс".
Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

60. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 09:17 
Для преобразования HTTP/2 же в HTTP/1 по сути требуется полная реконструкция, простой трансформации нет - и как раз это и вызывает обсуждаемую проблему.
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

72. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от And (??), 08-Авг-21, 11:56 
Именно. А разрабы попытались таки не делать нормально и попробовали частично 2 обратно превратить в 1.1

Типа время экономят, что ли... Для скорости.

Ответить | Правка | Наверх | Cообщить модератору

74. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 12:00 
Ну да, казалось бы должна была быть просто трансформация, потому что "разработано с учётом мнения ведущих собаководов". А на деле разработано без обратной совместимости, и поэтому особенностей исходного протокола не учитывает совсем.
Ответить | Правка | Наверх | Cообщить модератору

43. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от ананим.orig (?), 07-Авг-21, 20:56 
> plain-text HTTP, от которого, правда, все отказались в пользу HTTPS

всех отказали тогда уж.

не переживай, будет и 3-я, и 4-я волна.
это же удобно.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

25. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok), 07-Авг-21, 17:03 
Это рукожопость разработчиков прокси ибо такие атаки очевидны и им сразу же нужно было уделять должное внимание.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

40. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 07-Авг-21, 20:44 
Это рукожопость разработчиков бинарного протокола, которые решили, что те же CRLF в хедерах теперь новая нормальность. С фига бы.
Ответить | Правка | Наверх | Cообщить модератору

41. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 07-Авг-21, 20:46 
(упреждая: угу, бинарному протоколу фиолетово. но забыли о сути HTTP - передача собственно текстовых сообщений, в которых переводы строк - неизбежное зло. за бинарным протоколом ещё серверы этих текстовых сообщений сидят, которым тот же CRLF внутри одного хедера тоже не особо спёрся)
Ответить | Правка | Наверх | Cообщить модератору

89. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +2 +/
Сообщение от Аноним (-), 08-Авг-21, 12:45 
Для эпичного ламо намекну: там упомянуты варианты этих атак работающие на чистом HTTP/1, который они не первый год практикуют. В случае HTTP/2 они просто попробовали по аналогии - и это прокатило, с превышением.
Ответить | Правка | Наверх | Cообщить модератору

108. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:43 
Если уж совсем просто - H2 не стоило называть HTTP/2, это не HTTP.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

88. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +3 +/
Сообщение от Аноним (-), 08-Авг-21, 12:44 
> Уродство HTTP/2 таки выстрелило.

Вообще-то там текстовость HTTP/1.1 дурят жестко и это проблема HTTP1.

А если тот сайт еще и почитать, да еще используя мозги, можно узнать, что они там оказывается рядом атаковали и чистый HTTP/1.1 похожими методами, вообще без участия HTTP/2. Используя разное понимание фронтом и бэком длины запроса, например. Что в HTTP/1 сделано довольно дурно и дальше кому-то что-то совершенно левое в запрос врезается, потому что бэк уверен что все уже сжевал, а там какая-то добавка, которая может быть принята за новый запрос например, или префикс к нему.

Последнее позволяет пришить совершенно постороннему лоху какой-нибудь интересный редирект на свой сервак, а он какое-нибудь инфо утечет. Или скрипт ему подгрузить. Вариантов много.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

104. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:36 
H2 на бэках конкретно у нас упорно не приживается.
Основная причина - возможность в пределах одного коннекта открыть овердохера произвольных процессов/тредов в динамике, это всё приходится зажимами лимитировать, и честно говоря - проще вынести на фронт, вынеся все лимиты на стык, где потоки уже преобразованы в последовательные на H1.
Ответить | Правка | Наверх | Cообщить модератору

131. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:37 
> H2 на бэках конкретно у нас упорно не приживается.

Жирные корпы тоже, вот, думали сэкономить. Некоторые даже конопатили эти CVE раза по 3, демонстрируя уровень компетентности своих вебмакак.

> Основная причина - возможность в пределах одного коннекта открыть овердохера произвольных
> процессов/тредов в динамике,

Я правильно понимаю идею, что в кретинской архитектуре вашего бэка виноват HTTP/2? :) КМК, это барахло и при первом же ддосе скончается жесточайше, и вы пойдете клаудспайварь любить, или какую там еще "крышу" костылящую вашу ламерство.

Да, вы знаете, форкать по процессу и даже треду на запрос, и тем более без лимитов - не было сильно удачной идеей с самого начала. А pipelining позволяющий базовую версию того самого - вообще-то фича HTTP/1 еще. И вон те извращения с chunked они судя по всему с своих технологий атак HTTP/1 "бэкпортировали", или типа того.

> это всё приходится зажимами лимитировать, и честно говоря
> - проще вынести на фронт, вынеся все лимиты на стык, где
> потоки уже преобразованы в последовательные на H1.

Когда у вас есть два неэквивалентных набора фич - вы таки нарываетесь на проблему. Я еще цать лет назад видел как разное понимание одного и того же может нагнуть - и это всегда было очень деструктивным видом проблем, позволяющим сильно нагнуть задуманую логику работы с массой веселых последствий.

Ответить | Правка | Наверх | Cообщить модератору

5. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от Аноним (5), 07-Авг-21, 12:42 
Т.е. они одним сплошным потоком байтов слали подряд разные запросы а потом надеялись что смогут разбить их обратно на части?
Они похоже не читали статей где говорится о важности выбора разделителя и что самым надёжным будет разделять записи через набор символов !йух! .
Ответить | Правка | Наверх | Cообщить модератору

6. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –2 +/
Сообщение от пох. (?), 07-Авг-21, 12:49 
они читали много статей где п-делось о страшных и ужастных ЗАДЕРЖКАХ при открытии tcp сессии (особенно в рамках одного и того же локалхоста).
И героически поебдили ненужную проблему.

Ответить | Правка | Наверх | Cообщить модератору

35. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от kissmyass (?), 07-Авг-21, 20:14 
так разве для HTTP 1.0 не открывается новое соединение на каждый запрос?

или это особенность всякие reverse-proxy?

Ответить | Правка | Наверх | Cообщить модератору

38. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 07-Авг-21, 20:43 
Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная операция, на самом деле. Ну и 1.0 давно почит, в 1.1 в пределах одного соединения может быть несколько операций.
Ответить | Правка | Наверх | Cообщить модератору

47. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от kissmyass (?), 07-Авг-21, 21:56 
> Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная операция,
> на самом деле. Ну и 1.0 давно почит, в 1.1 в
> пределах одного соединения может быть несколько операций.

ну тогда либо прокси должен валидировать HTTP заголовки либо пусть форсит открытие нового соединения, странно что такие ребята типа nginx проморгали

Ответить | Правка | Наверх | Cообщить модератору

63. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 09:49 
Многие проморгали, потому что гугели свой SPDY в виде H2 запихивали в индустрию ломиком, не оставляя времени на масштабное тестирование. Следующая итерация неадекватизма под названием QUIC - на подходе, и её пытаются впихнуть ещё быстрее, чем H2. На деле же оба по сути не нужны, keepalive от 1.1 вполне достаточно. За спидами-кваками лежит только одно: желание сократить число открытых портов на фронтах у обленившихся.
Ответить | Правка | Наверх | Cообщить модератору

73. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от anonymous (??), 08-Авг-21, 11:57 
Дело тут не в открытых сессиях (сессии надо и в QUIC отслеживать, то есть это не даёт экономии). Дело именно в задержках. И да, QUIC действительно позволяет сократить задержки. Особенно у всяких мобильных пользователей.
Ответить | Правка | Наверх | Cообщить модератору

64. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от пох. (?), 08-Авг-21, 11:05 
причем и то и другое копеечные операции по сравнению с ожиданием модного-современного gpu рендеринга и тонны скриптов.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

65. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 11:15 
Не, ну там основной идеей вмазывалось "мыжыможым статический коньтент подгрузить асинхронно пока сервер кушает". А второй коннект открыть в походе за статическим контентом - это уже всё, немодномолодёжно, обязательно надо ещё что-то внутри протокола херовертить.
Ответить | Правка | Наверх | Cообщить модератору

69. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от пох. (?), 08-Авг-21, 11:26 
> А второй коннект открыть

ЗАДЕРЖКИ!!!! ("уминядвепалоски!")

(то что они миллисекундные на фоне _секунд_ как минимум на собственно скачивание - смузижорам неведомо - у них внутри гугля везде уже 100G прямо до ноута обезьянки-разработчика)

Ответить | Правка | Наверх | Cообщить модератору

132. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (-), 09-Авг-21, 04:41 
> (то что они миллисекундные на фоне _секунд_ как минимум на собственно скачивание

И тем не менее, кпд канала может получиться довольно издевательским. Особенно если вон там еще 20 скриптов на разных CDN распихано. Надо же все хайповые либы прицепить, или где?

> - смузижорам неведомо - у них внутри гугля везде уже 100G
> прямо до ноута обезьянки-разработчика)

Умничать о мобильном вебе с жирного проводного линка так то это эксперт уровня бох^W пох...

Ответить | Правка | Наверх | Cообщить модератору

66. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 11:16 
Самое же прекрасное, что у этих же почитателей смузи в итоге статический коньтент ныне размазан по десятку CDN'ов, и одним коннектом они так и так не обходятся.
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

68. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от пох. (?), 08-Авг-21, 11:24 
и вот там уже задержки вполне видны, поскольку это новая tls сессия на каждый jquery.js с каждого особенного cdn
(хотя, разумеется, они ничто по сравнению с тем что начнется, когда оно его наконец-то скачает и запустит)

Ответить | Правка | Наверх | Cообщить модератору

90. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 08-Авг-21, 12:48 
> Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная операция,

Не совсем. Ведет к выделению ресурсов на сокет в операционке, а закретие соединения далеко не мгновенное и при большом количестве запросов сокеты ожидающие закрытия могут основательно подвыжрать лимит числа файлов/сокетов, пригрузить conntrack, если он есть, etc.

> пределах одного соединения может быть несколько операций.

Да, там рядом клевые примеры что с chunked можно делать. И как можно фронты и бэки на-о-бывать. Даже без HTTP2 вообще, чего уж.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

101. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:31 
Ну я как бы в курсе, в практике и 1000 запросов в секунду на динамику - не предел.
Другое дело, что там, где начинается хайлоуд, это всё по уму горизонтально масштабируется, и не надо извращаться с мультиплексированием внутри простого как доска протокола.
Ответить | Правка | Наверх | Cообщить модератору

133. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:47 
> Другое дело, что там, где начинается хайлоуд, это всё по уму горизонтально
> масштабируется, и не надо извращаться с мультиплексированием внутри простого как доска
> протокола.

Теоретически да. Практически - установка и завершение TCP все же не халявные, и это создает некий оверхед. Если мультиплексировать и не делать форк/старт треда на каждое это вот, оверхед заметно экономится. И если обратить внимание, изначально атака была на HTTP/1. И да, если делать как выше, прямая атака становится проблемой, однако если их статью посмотреть, в случае если фронт и бэк видят мир по разному, они все же придумали странные извращения с cache poisoning и проч. Разное видение мира разными компонентами - в любом случае остается проблемой, которую можно эксплуатировать газилионом странных способов.

А если фронт будет работать как вон то, это будет хтонически неэффективно и весьма атакуемо ддосами.

Ответить | Правка | Наверх | Cообщить модератору

103. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:34 
Про chunked пожалуй соглашусь, данное счастье требует некоторой аккуратности.
С другой стороны то, что с H2->H1 происходит, рядом с chunked не лежало и не ползало.
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

134. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:48 
> Про chunked пожалуй соглашусь, данное счастье требует некоторой аккуратности.
> С другой стороны то, что с H2->H1 происходит, рядом с chunked не
> лежало и не ползало.

Это судя по виду лишь усиленная и заапгрейженая версия атак которые они на HTTP/1 практиковали, используя разное видение мира фронтом и бэком и там.

Ответить | Правка | Наверх | Cообщить модератору

7. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (7), 07-Авг-21, 12:52 
Полное вымирание сайтов http - вопрос времени
Ответить | Правка | Наверх | Cообщить модератору

91. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 08-Авг-21, 12:56 
> Полное вымирание сайтов http - вопрос времени

Они как умные клавы решили смухлевать и прицепить HTTP/1 бэк малой кровью. При том на этом погорели весьма жирные конторы.

Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  –4 +/
Сообщение от Аноним (8), 07-Авг-21, 12:57 
Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором  +/
Сообщение от Аноним (22), 07-Авг-21, 14:55 
Ответить | Правка | Наверх | Cообщить модератору

9. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 07-Авг-21, 12:59 
Радует пока одно: у меня на фронтах немолодёжный haproxy, новый парсер которого по-человечески разбирает и перебирает запросы перед отдачей в бэкенды. В старом парсере до 2.0.6 были проблемы, ну так старый парсер для h2 в здравом уме юзать было сложно.
Ответить | Правка | Наверх | Cообщить модератору

10. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от пох. (?), 07-Авг-21, 13:04 
нет ножек (ненужно/2) - нет проблемы.

P.S. обратить внимание на нашествие в комменты м-ков "экспертов" борцунов с http.

Ответить | Правка | Наверх | Cообщить модератору

12. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 07-Авг-21, 13:13 
Я бы им вместо http sip с rtp посоветовал, но жалко бедняжек.
Ответить | Правка | Наверх | Cообщить модератору

100. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (-), 08-Авг-21, 13:28 
> P.S. обратить внимание на нашествие в комменты м-ков "экспертов"

Фига, пох сам себя, затарил, не в бровь а в глаз.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

31. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Alexey Chernyavskiyemail (?), 07-Авг-21, 19:14 
Переходи на Traefik
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

37. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +2 +/
Сообщение от Онаним (?), 07-Авг-21, 20:40 
Пасибо, я столько смузи в одно рыло не сожру.
Ответить | Правка | Наверх | Cообщить модератору

48. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от онанимус (?), 07-Авг-21, 23:01 
тогда переходи на Envoy
Ответить | Правка | Наверх | Cообщить модератору

52. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 01:20 
Не, там думать надо.
Ответить | Правка | Наверх | Cообщить модератору

61. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 09:22 
Когда смузихлёбы добираются до C - у них выходит ещё хуже, чем если бы они на своих гошечках писали.

Ну и вообще, какой смысл на что-то переходить, если haproxy отлично справляется со своей задачей? Модность и молодёжность? Всякие борингэсэсэли, люфты и прочее нечитаемое? См. выше - очень радует, что не модно, и не молодёжно.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

82. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 12:30 
> haproxy отлично справляется со своей задачей

Разработчики haproxy с вами не согласятся, судя по тому, что они пилят dataplaneapi (попытка сделать аналог envoy из haproxy, обмазанного дендрофeкальными материалами).

Ответить | Правка | Наверх | Cообщить модератору

62. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Онаним (?), 08-Авг-21, 09:24 
Абсолютно угрёбищный конфиг умноженный на абсолютно угрёбищную документацию - да, это то, о чём я всю жизнь мечтал. По ним можно примерно предположить, что там внутри в архитектуре этого барбершопа.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

75. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от anonymous (??), 08-Авг-21, 12:02 
Когда-нибудь вы уйдёте в High Load и в такой, где нужны submillisecond ответы от сервиса, и тут вы поймёте почему haproxy вам уже не хватает. И почему TCP вам не подходит by design.
Ответить | Правка | Наверх | Cообщить модератору

79. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 12:12 
Не жрите больше столько, умоляю. High Load - это не субмиллисекундные ответы, далеко нет.
И если у вас для нормальной работы сервиса требуются субмиллисекундные ответы - я бы уже посоветовал начать руковыпрямительную машинку собирать.
Ответить | Правка | Наверх | Cообщить модератору

80. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +3 +/
Сообщение от Онаним (?), 08-Авг-21, 12:24 
Но да, раз уж мы заговорили о хайлоудах - я прекрасно знаю как оно у смузихлёбов происходит.
Сначала плодятся модные микросервисы в докерах, и оно даже как-то работает в продакшне на хайлоуде внезапно. Стильно, модно, молодёжно.
По мере развития сервиса этих микросервисов становится over 9000, и вот тут выясняется, что нам теперь на один запрос надо их подёргать полсотни минимум, причём часто последовательно. А поскольку сеть при такой растопырке начинает роль играть, начинается вытьё про необходимость субмиллисекундных ответов, tcp не tcp, и прочий истероз. Это не хайлоуд, это лоумаржин, обильно сдобренный неумением видеть процессы далее одной сущности (особенно для снежинок характерно ныне).

И нет понимания того, что юзеру без разницы, что у вас там в колхозе - ему важно, чтобы ему за его 100 мс ожидания, на которые он готов, ответ пришёл, а что вы там внутри дёргаете - сугубо фиолетово.

Рецепт в данном случае прост, но он покатит только в случае, если у вас не лоумаржин, а нормальное рентабельное. Смузихлёбам оставляется смузи (да и самих их остаётся половина), на критичные места берутся (дорогие) спецы, которые умеют вместо 100500 обмылков собрать полтора нормальных масштабируемых монолита, и их поддерживать. Ворочаться будет тоже не валко, но куда шустрее, чем подёргать сотню микрообмылков.

Всё это ещё дополнительно умножается на то, что ваш тезис про субмс работает только пока у вас георазнесения нет. Как только появляется георазнесение - забудьте про субмс, там от сервиса до сервиса будет десяток мс, и блокирующая синхронизация.

Короче, субмиллисекундные ответы оставьте жёсткому реалтайму и телеметрии - там да, это очень суровая тема, и действительно с tcp бывают проблемы. Но это не Web, и даже не около. А там, про что вы вещаете - проблема совершенно другого характера.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

97. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 08-Авг-21, 13:25 
У микросервисов есть ряд очевидных плюсов. Как то декомпозиция задачи и перевод оной к некоторому количеству маленьких простых программ. В которых, в лучшем случае будет не так уж много багов. Сложность написания программы, видите ли, растет квадратично от ее размера. Поэтому и багов в большом монолите по идее будет больше, а поддерживать его будет хуже.

Другое дело что хипстеры с жидким мозгом, как ни садитесь, а в программисты не годитесь.

Ответить | Правка | Наверх | Cообщить модератору

109. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:48 
Да, большой монолит сложнее поддерживать.
Но жесть в том, что менять рост сложности на не менее экспоненциальный рост требований к инфраструктуре получится только до определённого предела. А после и tcp не tcp, и всё остальное :)

Баланс где-то посередине, а на старте проекта заметить потенциальную проблему с масштабируемостью по инфраструктуре тем самым хипстерам не просто очень сложно, а близко к импоссибл. Хуже всего то, что свернуться назад требует затрат многократных к изначальной балансировке в сторону группы монолитов.

Ответить | Правка | Наверх | Cообщить модератору

135. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:55 
> Да, большой монолит сложнее поддерживать.

Он склонен превращаться в большое месиво. Которое к тому же скорее всего больше оверхеда на конкретно вон тот запрос.

> Но жесть в том, что менять рост сложности на не менее экспоненциальный
> рост требований к инфраструктуре получится только до определённого предела.

Само по себе вон то - не обязывает повышать требования к инфраструктуре вроде. Откуда это следует? Другое дело что вебмакаки могут любую идею довести до маразма.

> А после и tcp не tcp, и всё остальное :)

У TCP есть свои long standing issues, а в мире с беспроводными линками он работает "не очень".

> по инфраструктуре тем самым хипстерам не просто очень сложно, а близко к импоссибл.

В этом месте некоторые начинают догадываться почему хорошие архитекты дороги и редки...

> Хуже всего то, что свернуться назад требует затрат многократных
> к изначальной балансировке в сторону группы монолитов.

Факапы на уровне архитектуры никогда не были простыми и дешевыми. Но да, довольно многие узнают это сложным - и дорогим - способом, подорвавшись "что-нибудь накодить, а потом подумаем" :)

Ответить | Правка | Наверх | Cообщить модератору

110. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:49 
(короче я мыслью по древу растёкся, но основная мысль была в том, что овердекомпозиция - зло :D )
Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

121. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 14:44 
Для проектов уровня ~приветмир~ интернет-магазина "Васян сейлз" - да. Как говорится, "специализация - удел насекомых".

А сложные проекты в сотни тысяч строк кода разбивать на модули можно и нужно, потому что одна команда со всем проектом банально не справится.

Можно сколько угодно ныть про "оверинжиниринг" и "овердекомпозицию", но лес удобнее валить бензопилами, запчасти к которым могут делаться на нескольких разных заводах в различных странах, чем каменным топором, который Ыых единолично соорудил за полчаса.

В конечном счете все эти речи, сдобренные словами "оверинжиниринг", "овердекомпозиция", а также "комбайн", "блоатварь", "блоб", "вендорлок" - воспринимаются абсолютно так же, как любой другой bullsh1t от манагера-продавана - "дайте мне вилку, у меня на ушах повисло много лишнего".

Ответить | Правка | Наверх | Cообщить модератору

143. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от айпони одобряет микросервисы (?), 09-Авг-21, 15:52 
>Как то декомпозиция задачи и перевод оной к некоторому количеству маленьких простых программ

Программа перестаёт быть простой и маленькой ровно тогда, когда она становится сервисом или делает то, что можно было сделать через stdin/stdout по сети. Можно было нашлёпать простых процессов и не вымучивать из себя архитектуру, где простой фильтр становится сервером.

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

147. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (147), 09-Авг-21, 21:37 
Не ясно, в чём разница со стороны логики приложения, сравнивая stdin/stdout между процессами и tcp между микро-серверами.

Проблема в связности процессов и микро-с. и она совершенно отдельная от выбора stdin/stdout или tcp.

Ответить | Правка | Наверх | Cообщить модератору

160. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 17-Авг-21, 20:24 
Разница как раз в той самой latency, с которой потом героически начинают бороться (перед этим создав себе этот самый героический геморрой).
Ответить | Правка | Наверх | Cообщить модератору

152. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от www2 (??), 10-Авг-21, 08:20 
До декомпозиции на микросервисы была декомпозиция на отдельные взаимодействующие процессы, как в Postfix, например. А до этого была декомпозиция на модули с явно объявленными интерфейсами, в обход которых нельзя ходить. Примеров в разных ЯП много своих, взять хотя бы Java и Modula. А до этого было примерно то же самое, но с динамическими библиотеками. А до этого то же самое, но со статическими библиотеками.

Угадайте, что будет быстрее работать: микросервисы или статически собранные в монолитный исполняемый файл модули-библиотеки?

Угадайте, что будет проще поддерживать: тысячу микросервисов, каждый из которых может взаимодействовать с каждым по принципу графа, или тысячу статически собранных в монолит модулей, между которыми связи выстраиваются в дерево?

Угадайте, можно ли будет при необходимости вынести модуль из статически собарнного монолита в отдельный сетевой сервис?

Микросервисы - это механизм принуждения для тех, кто не способен вырабатывать и следовать политике. В хорошо сделанном монолите масштабируемости больше, чем в наугад сделанных микросервисах. Проблема в том, что делать монолит хорошо умеют "не только лишь все".

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

161. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 17-Авг-21, 20:25 
> Угадайте, что будет проще поддерживать: тысячу микросервисов, каждый из которых может взаимодействовать с каждым по принципу графа, или тысячу статически собранных в монолит модулей, между которыми связи выстраиваются в дерево?

Сам вопрос уже некорректен, потому что из тысячи мелконедосервисов получится два десятка самостоятельых монолитов.

Ответить | Правка | Наверх | Cообщить модератору

162. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 17-Авг-21, 20:26 
> Микросервисы - это механизм принуждения для тех, кто не способен вырабатывать и следовать политике.

Микросервисы - это попытка хоть как-то разрулить поделки обезьянок-неосиляторов ("тех, кто не способен" видеть более одной сущности сразу в разрезе сервиса) до рабочего состояния.

Ответить | Правка | К родителю #152 | Наверх | Cообщить модератору

122. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от gvx (?), 08-Авг-21, 15:13 
>нормальных масштабируемых монолита

Это надо внести в луддитско-свитеро-бородные анналы.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

127. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 19:50 
Монолиты разные бывают.
Можно каждые 2*2 в микросервис вытягивать.
А можно целый кусок логики, за свой _набор_ сущностей отвечающий, и взаимосвязи между ними.
Только это уже не микросервис будет, а монолит, который не вся правда система, а часть.
Ответить | Правка | Наверх | Cообщить модератору

84. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 12:32 
>  Когда-нибудь вы уйдёте в High Load и в такой, где нужны submillisecond ответы от сервиса, и тут вы поймёте почему haproxy вам уже не хватает. И почему TCP вам не подходит by design.

Вот только envoy тут не при чем. Он - в основном про возможность конфигурирования в runtime. Пожалуй, один из двух прокси-серверов, которые это реально умеют (второй - caddy).

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

98. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:26 
Да и haproxy в рантайме нормально реконфигурится, если уж честно-то.
Кое-что можно через API, хосты вообще можно в динамике через DNS, а так там reload процессы в усмерть не блокирует даже под тысячами коннектов, разве что phaseout для удалённого бывает длинный.
Ответить | Правка | Наверх | Cообщить модератору

112. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 14:10 
> Да и haproxy в рантайме нормально реконфигурится, если уж честно-то.

Нет. Достаточно переконфигурировать хотя бы несколько раз в секунду (вполне типичная ситуация в динамичных окружениях), чтобы "дорабатывающие" экземпляры основательно забили память.

> Кое-что можно через API

А нужно не кое-что, а полноценное изменение конфигурации.

> хосты вообще можно в динамике через DNS

Одна А-запись = один server - крайне уныло. Чтобы банально поменять количество бэкендов - нужно лезть в API, причем их количество ограничено заранее созданными слотами.

Ответить | Правка | Наверх | Cообщить модератору

113. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 14:10 
s/бэкендов/серверов в бэкенде/, конечно же.
Ответить | Правка | Наверх | Cообщить модератору

125. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 19:36 
> s/бэкендов/серверов в бэкенде/, конечно же.

Количество слотов да, но вот это как раз дёргается через реконфиг, если ОЧЕНЬ надо (у вас точно количество нод каждую секунду растёт?).
А так SRV с 2019 года уже поддерживается.

Ответить | Правка | Наверх | Cообщить модератору

124. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 19:30 
> А нужно не кое-что, а полноценное изменение конфигурации.

Раз в секунду.
Как правило если такое начало требоваться - самое время что-то в канцелярии подправить.

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

136. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 04:59 
> Одна А-запись = один server - крайне уныло. Чтобы банально поменять количество
> бэкендов - нужно лезть в API, причем их количество ограничено заранее
> созданными слотами.

А зачем это менять раз в секунду? Чтобы прострелить себе пятку, а потом продать всем вокруг пластырь от тупости?

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

85. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 12:35 
> Абсолютно угрёбищный конфиг умноженный на абсолютно угрёбищную документацию

Могли бы и не повторять, выше же написано

> Не, там думать надо.

Если что-то по своей сложности превосходит табуретку и не может быть осмыслено одной извилиной - всё, атас, "угребищность" и другие нехорошие слова.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

96. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (-), 08-Авг-21, 13:21 
В новости про атаки - примерно так. Чем сложнее и оверинженернутее нечто, тем больше там будет багов, включая и вулны. Грубо говоря, если вы везде и всюду будете летать исключительно на новой, клевой ракете - ваше прибытие, конечно, будет вызывать фурор. Но не долго. В силу сложности конструкции и малоизученности проблем ваша удача довольно быстро закончится. С другой стороны, сидение на табуретке не грозит развеянием праха в атмосфере...
Ответить | Правка | Наверх | Cообщить модератору

111. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:51 
Примерно да. Оверинжениринг и овердекомпозиция кажутся простыми на этапе первичной сборки, но выстреливают в ногу далее, на развитии и эксплуатации, зачастую потому, что особенности тьмы тьмущею сущностей целиком удержать даже документация уже не помогает. "Не помнишь - запиши. Записал. Забыл, где записал" :)
Ответить | Правка | Наверх | Cообщить модератору

138. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 05:07 
> Примерно да. Оверинжениринг и овердекомпозиция кажутся простыми на этапе первичной сборки,
> но выстреливают в ногу далее, на развитии и эксплуатации, зачастую потому,
> что особенности тьмы тьмущею сущностей целиком удержать даже документация уже не
> помогает. "Не помнишь - запиши. Записал. Забыл, где записал" :)

Сам по себе HTTP/2 в этом плане кстати не такой уж оверинженернутый, хотя mandatory сжатие хидеров они наверное все же зря. А идея убрать special meaning у всяких закорючек и байтиков как раз таки сама по себе очень неплоха. Чистый HTTP/2 не получится левыми хидерами так по наглому кормить как HTTP/1 по жизни кормят, да и размер запроса юзеру сильно менее подконтролен. Другое дело, что красиво было на бумаге, но пришли чуваки с HTTP/1 бэками и вырыли себе овраг...

Ответить | Правка | Наверх | Cообщить модератору

116. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от Аноним (22), 08-Авг-21, 14:21 
> С другой стороны, сидение на табуретке не грозит развеянием праха в атмосфере...

Но эволюция, а впоследствии - и прогресс, почему-то упорно порождают все более усложнённые системы. Да, упрощённые тоже порождают, но далеко не все ниши ими закрываются.

Поэтому когда я вижу, когда носитель килограммового шмата нейронов ноет о переусложнённости - хочется посоветовать ему деградировать обратно до амёбы.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

137. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 05:05 
> Но эволюция, а впоследствии - и прогресс, почему-то упорно порождают все более
> усложнённые системы.

...состоящие из простых систем. Отказ каждой из которых в отдельности вообще похрен. У вас каждый день мрет куча клеток но вы вообще не замечаете это. Может ли похвастаться этим ваш бэк?

> Поэтому когда я вижу, когда носитель килограммового шмата нейронов ноет о переусложнённости
> - хочется посоветовать ему деградировать обратно до амёбы.

Вы не правильно поняли эволюцию. Там случилось примерно то же что у хороших программистов. Каждая клетка сама по себе - не сильно сложнее амебы. Более того, глобальная архитектура с массовым параллельным процессингом и избыточностью так то сильно получше того что может большая часть вебмакак изобразить. А вот штуки типа гугла эти идеи неплохо прочухали так то...

Ответить | Правка | Наверх | Cообщить модератору

99. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 13:28 
Оно именно что не по сложности превосходит, а по угрёбищности.
То есть мнимая сложность, героически себе созданная, чтобы героически гордиться её преодолением.
Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

115. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 14:16 
> Оно именно что не по сложности превосходит, а по угрёбищности.

Ну, для вас, похоже, 1+1 - норм, 2+2 - сложно, а 2+3 - угрёбищно.
А уж 5*6 вообще только смузихлёбы могут посчитать, нормальному человеку такое не понадобится, ибо "оверинжиниринг".

Ответить | Правка | Наверх | Cообщить модератору

126. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 08-Авг-21, 19:38 
В случае смузихлёбов я бы поставил на скачивание лефтпада для 1+1 и 2+2, а в случае 5*6 - уже целый докер с микросервисом будет.
Ответить | Правка | Наверх | Cообщить модератору

153. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 10-Авг-21, 21:54 
> В случае смузихлёбов я бы поставил на скачивание лефтпада для 1+1 и
> 2+2, а в случае 5*6 - уже целый докер с микросервисом будет.

---
От учащихся старших школ (high schools, аналог наших старших классов средней школы) штата Орегон отныне не будут требовать, чтобы они демонстрировали в тесте перед выпуском определенный уровень навыков в чтении, письме и математике. А ежели кто попробует с такими нелепыми требованиями выступить, тот будет наказан по всей строгости закона.

Достичь этого важного этапа в развитии народного образования местным энтузиастам удалось путём напряжённой и слаженной работы разных слоёв общества. Сначала прогрессивная общественная организация «Фонд за лучший Орегон» добилась того, что в сенат штата был внесён соответствующий законопроект, который — внимание! здесь цитата, в которой каждое слово драгоценно — «отражает те подлинные ценности, которые необходимы каждому учащемуся, чтобы добиться преуспевания в XXI веке».  Ключевое слово здесь, разумеется — «подлинные». А ценности ложные — то есть бессмысленные умения читать, писать да считать, которые навязывались школьникам ретроградами из древнего века XX, а то как бы и не из XIX — не отражает.
--- http://a-nikolov.livejournal.com/531242.html (achtung, RT!)

Ответить | Правка | Наверх | Cообщить модератору

154. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Онаним (?), 10-Авг-21, 23:17 
Ссылка на производное ботофермы, которое маскируется под другого пользователя - это пять.
Уровень тот.
Ответить | Правка | Наверх | Cообщить модератору

92. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –2 +/
Сообщение от Аноним (-), 08-Авг-21, 13:12 
> тогда переходи на Envoy

Охренеть, плюсовики хайпуют. Явно покусаные гуглем - #include <stdbullshit> и даже, вау, тот укуреный гуглокрап как билдсистема.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

156. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (22), 17-Авг-21, 19:10 
> Радует пока одно: у меня на фронтах немолодёжный haproxy, новый парсер которого по-человечески разбирает и перебирает запросы перед отдачей в бэкенды.

Поздравляю вас с этим, и рекомендую немедленно обновиться
https://git.haproxy.org/?p=haproxy-2.4.git;a=commit;h=9e0c2b...
https://git.haproxy.org/?p=haproxy-2.4.git;a=commit;h=6c6b9a...
https://git.haproxy.org/?p=haproxy-2.4.git;a=commit;h=b4934f...
https://git.haproxy.org/?p=haproxy-2.4.git;a=commit;h=e9f1f1...

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

157. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 17-Авг-21, 20:05 
У меня за фронтом такой же не менее немолодёжный H1, поэтому меня эти пляски с угрёбищным H2 тоже не затронули :)

Кроме https://git.haproxy.org/?p=haproxy-2.4.git;a=commit;h=e9f1f1...

Но в данном случае на стороне серверов строгая валидация, поэтому пох.
Тем более что рутинное обновление haproxy делается буднично, и да, скоро обновлюсь, спасибо :)

Ответить | Правка | Наверх | Cообщить модератору

158. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 17-Авг-21, 20:06 
Хотя конечно да, есть определённый мысли вообще убрать ALPN h2 с фронтов, ибо нефиг.
Ответить | Правка | К родителю #156 | Наверх | Cообщить модератору

159. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Онаним (?), 17-Авг-21, 20:07 
// определённый позыв / определённые мысли
Ответить | Правка | Наверх | Cообщить модератору

13. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Отражение луны (ok), 07-Авг-21, 13:14 
Оверинженеринг в действии
Ответить | Правка | Наверх | Cообщить модератору

26. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +2 +/
Сообщение от all_glory_to_the_hypnotoad (ok), 07-Авг-21, 17:06 
Это как раз недоинженеринг, т.е. когда осилили работу с простым протоколом HTTP/2 и не осилили бинарно более сложный HTTP/1.x
Ответить | Правка | Наверх | Cообщить модератору

93. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +2 +/
Сообщение от Аноним (-), 08-Авг-21, 13:13 
> Это как раз недоинженеринг, т.е. когда осилили работу с простым протоколом HTTP/2
> и не осилили бинарно более сложный HTTP/1.x

HTTP/1 вообще более сложен в проверках и sanity check. В том числе и из-за специальной трактовки символов, что ведет к рискам срыва парсинга.

Ответить | Правка | Наверх | Cообщить модератору

78. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от And (??), 08-Авг-21, 12:03 
> Оверинженеринг в действии

Больше похоже на идиотизм: тащить части старого протокола в новый протокол. Нарушили инкапсуляцию и огребли. О чём олды даааавно уже понимали.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

95. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +2 +/
Сообщение от Аноним (-), 08-Авг-21, 13:18 
> Больше похоже на идиотизм: тащить части старого протокола в новый протокол. Нарушили
> инкапсуляцию и огребли. О чём олды даааавно уже понимали.

Они настолько понимали, что по#%ывали даже и чистый HTTP/1.1 используя разное его понимание на границе между фронтом и бэком :P

Ответить | Правка | Наверх | Cообщить модератору

117. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (147), 08-Авг-21, 14:26 
> на границе между фронтом и бэком

Между фронтом и бэком и на ф. и на б. как раз не было знавших и понимавших, или их задавил лидер разработки.

Есть вещи, которые не стоит даже затевать. Но многие непробовали сами результата и соблазняются.

Ответить | Правка | Наверх | Cообщить модератору

141. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 05:28 
> Между фронтом и бэком и на ф. и на б. как раз
> не было знавших и понимавших, или их задавил лидер разработки.

Более вероятно что...
1) Это были 2 тотально разные команды, плохо или никак взаимодействующие между собой.
2) В HTTP/1 есть несколько мест которые можно сделать по разному и довольно много мест где можно лохануться в парсинге. HTTP/2 в этом несколько лучше, кстати. Но если его в HTTP/1 перегнать, проблемных мест становится даже больше.
3) Архитект мог быть лох, а безопасТник возможно умел только кошмарить хомячков во имя луны. Вон там красавы, с 3-4 попыток зачинить не смогли местами. То-есть они сами вообще толком не поняли проблему и закостылили конкретное проявление. За что получили еще 3-4 успешных эксплойтирования, обходом конкретной затычки.

Ответить | Правка | Наверх | Cообщить модератору

15. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (15), 07-Авг-21, 13:19 
Ну так нгингс подвержен или нет? Где исправления?
Ответить | Правка | Наверх | Cообщить модератору

18. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от edo (ok), 07-Авг-21, 13:41 
Если я правильно прочитал changelog к 1.21.1, то это как раз оно:
http://nginx.org/en/CHANGES
Немного смущает, что  эта версия вышла месяц назад (впрочем, CVE-2021-21295 вообще от марта, так что известно об этой уязвимости давно)


Тут просто написано «NGINX is not affected by this security exposure», без указания конкретных версий:
https://support.f5.com/csp/article/K97045220

Ответить | Правка | Наверх | Cообщить модератору

55. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +2 +/
Сообщение от Sage (??), 08-Авг-21, 03:32 
Проверил на Nginx 1.20 (не включающем правки от 6 июля): заголовок Transfer-Encoding на сервер, указанный в proxy_pass, не отправляется вообще (до nginx доходит, а дальше - не уходит), Content-Length устанавливается в нужное значение, исходя из реального объёма переданных данных. Попытки вклинить перенос на новую строку внутри заголовка приводят к закрытию соединения. Попытки дважды использовать Content-Length - к ошибке 400. Получается, добавленные в 1.21.1 исправления - это ради перестраховки.
Ответить | Правка | Наверх | Cообщить модератору

57. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от edo (ok), 08-Авг-21, 04:46 
чем генерировали запросы? curl'ом у меня не всё получается
Ответить | Правка | Наверх | Cообщить модератору

67. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Sage (??), 08-Авг-21, 11:19 
На скорую руку отредактировал бинарник курла и libcurl-4.dll, заменив там первую букву во всех вхождениях строки Transfer-Encoding, дабы этот заголовок в нём не имел специального значения и отправлялся на сервер, как и остальные пользовательские заголовки. На придумывание чего-то хитрого не стал тратить время, но через Wireshark убедился, что нужные заголовки в запросах к nginx на месте, а от nginx уже нет (curl запускал с переменной окружения SSLKEYLOGFILE).
Ответить | Правка | Наверх | Cообщить модератору

140. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 05:23 
Ммм... хакир! :) Т.е. HTTP/2 стал внаглую рассылать Transfer-Encoding как HTTP/2 хидер? Мсье эстет, мне это нравится. Пойду тоже что-нить пропатчу, только, пожалуй, в сорце :]
Ответить | Правка | Наверх | Cообщить модератору

24. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (24), 07-Авг-21, 15:52 
Теперь все будут топить за "закопать" http и перейти на websocket?
Ответить | Правка | Наверх | Cообщить модератору

77. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от anonymous (??), 08-Авг-21, 12:03 
WebSocket работает поверх HTTP
Ответить | Правка | Наверх | Cообщить модератору

27. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +3 +/
Сообщение от Kuromi (ok), 07-Авг-21, 17:35 
Не волйнутесь, сейчас Гугл быстренько придумает HTTP3...ой, нет, наверное уже HTTP4.
Ответить | Правка | Наверх | Cообщить модератору

29. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Разбойник (?), 07-Авг-21, 18:37 
Хуавей уже замену TCP/IP придумал. Этакий зомбоящик получается.
Ответить | Правка | Наверх | Cообщить модератору

36. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от kissmyass (?), 07-Авг-21, 20:21 
мертворожденная шляпа
Ответить | Правка | Наверх | Cообщить модератору

49. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от онанимус (?), 07-Авг-21, 23:03 
это тебе, живущему в свободной стране, так кажется.
а в Китае взлетит.
Ответить | Правка | Наверх | Cообщить модератору

76. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Онаним (?), 08-Авг-21, 12:02 
Ну так там цели иные, нежели связность и удобство.
А в условиях адекватных целей не взлетит.
Ответить | Правка | Наверх | Cообщить модератору

50. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Kuromi (ok), 07-Авг-21, 23:25 
> Хуавей уже замену TCP/IP придумал. Этакий зомбоящик получается.

Так же как они "заменили" Андроид?

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

56. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Anonn (?), 08-Авг-21, 03:43 
Такими темпами скоро перейдут на 6-недельные релизы, синхронно с Хромом. Циферки будут меняться как в одометре.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

58. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (58), 08-Авг-21, 07:51 
Вообще-то у них уже 4-недельный цикл
Ответить | Правка | Наверх | Cообщить модератору

44. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –3 +/
Сообщение от Alex_Kemail (??), 07-Авг-21, 21:16 
KeepAlive Off на бэкенде спасет отца русской демократии :)
Ответить | Правка | Наверх | Cообщить модератору

51. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Анончик (?), 07-Авг-21, 23:38 
Да, Жа спасет, можешь спать спокойно =)
Ответить | Правка | Наверх | Cообщить модератору

54. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от vitalif (ok), 08-Авг-21, 02:04 
HTTP2 нинужно
Ответить | Правка | Наверх | Cообщить модератору

70. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от Аноним (70), 08-Авг-21, 11:29 
javascript макак как обычно взламывают даже без использования уязвимостей неправильной работы с памятью.
Несомненно у них ошибка в днк
Ответить | Правка | Наверх | Cообщить модератору

94. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 08-Авг-21, 13:16 
А тут, внезапно, не в js макаках проблема.
Ответить | Правка | Наверх | Cообщить модератору

118. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (22), 08-Авг-21, 14:26 
Ну, если бы они осилили http2.createServer, то последствий их рукоблудия перечисленные уязвимости не коснулись бы.
Ответить | Правка | Наверх | Cообщить модератору

119. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (147), 08-Авг-21, 14:31 
Как раз в них. Фронт и бэк - две группы разработки, работающие в тесном сотрудничестве. Родили вместе.

Various people believe in JavaScript crypto, unfortunately. This small
example helps them fuel their poor taste.

https://github.com/WireGuard/wireguard-tools/blob/3ac679e7a1...

Везде чмырят...

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

139. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 09-Авг-21, 05:16 
> Как раз в них.

Эта проблема может возникнуть даже в проектах никак не использующих JS, и вообще, достаточно концептуальна.

Root cause - разное видение мира разными частями системы, ЯП в формулу факапа вообще не входит. Я вообще видел это в совсем других протоколах и ЯП, но оно тоже жгло напалмом по примерно тем же failure modes. Это довольно мощный - и довольно недооцененный - класс багов.

> Various people believe in JavaScript crypto, unfortunately.

Я даже согласен, но это все же вообще совсем полностью другой класс проблем. Хотя если свести все проблемы к "програмер/архитект идиот", тогда будет что-то общее конечно. Но это довольно упрощенная картина мира.

Ответить | Правка | Наверх | Cообщить модератору

144. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от айпони одобряет микросервисы (?), 09-Авг-21, 15:58 
>Root cause - разное видение мира разными частями системы

А то, что видение мира у JS-смузихлёбов отбито по самое не балуй, тебя не смущает?

Ответить | Правка | Наверх | Cообщить модератору

151. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (-), 10-Авг-21, 07:07 
> А то, что видение мира у JS-смузихлёбов отбито по самое не балуй,
> тебя не смущает?

Так оно же не только у них отбито. Вон какие-нибудь питонисты или даже хрустики с их серебряными пулями из слегка приукрашеного материала.

Ответить | Правка | Наверх | Cообщить модератору

145. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (145), 09-Авг-21, 16:23 
вебня такая вебня
Ответить | Правка | Наверх | Cообщить модератору

146. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от Аноним (146), 09-Авг-21, 20:44 
Надо было на расте писать.
Ответить | Правка | Наверх | Cообщить модератору

148. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +1 +/
Сообщение от Аноним (148), 09-Авг-21, 22:17 
В соседнюю ветку загляни, там в твоём расте дыреней наделали мама не горюй.
Ответить | Правка | Наверх | Cообщить модератору

149. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от Аноним (-), 09-Авг-21, 22:22 
> Надо было на расте писать.

Точняк, надо запилить что-нибудь с этой уязвимостью и на хрусте. Нужно больше CVE, милорд!

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

150. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  –1 +/
Сообщение от Gogi (??), 10-Авг-21, 00:14 
Это называется не "уязвимость", а "заставили обезьян веб проектировать"!
Бэкенду вообще никаким боком не нужен HTTP! Связать фронт и бэк можно сотней РАЗНЫХ способов, где запросы разных клиентов вообще не пересекаются.
Ответить | Правка | Наверх | Cообщить модератору

164. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (164), 18-Авг-21, 09:45 
Есть ещё кстати fastcgi. Можно было бы использовать его.
Ответить | Правка | Наверх | Cообщить модератору

166. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (166), 22-Дек-23, 22:46 
К разработчикам SPDY, из которого произошёл HTTP/2 первое предложение относится на 100%. В той конторе вменяемость запрещается проносить на территорию.
Ответить | Правка | К родителю #150 | Наверх | Cообщить модератору

155. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Gena ANTG (ok), 11-Авг-21, 17:29 
Мамкины "иксперты" даже не поняли о чем идет речь в статье, говорят за JS, Rust :D
Подумали, что под фронтом имеют ввиду JS, а не прокси-сервер на бэке с проблемой общения между протоколами, а-а-а-а-ахахах.
Ответить | Правка | Наверх | Cообщить модератору

163. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (164), 18-Авг-21, 09:44 
А почему бы просто не общаться с бэкендами по http/2? Ведь это бинарный протокол, а значит парсинг и сериализация в него идёт эффективнее. Заодно и встроенные в парсер проверки всех размеров внутри сообщения.
Ответить | Правка | Наверх | Cообщить модератору

165. "Новая атака на системы фронтэнд-бэкенд, позволяющая вклинить..."  +/
Сообщение от Аноним (166), 22-Дек-23, 22:44 
Если в HTTP/2 указана длина, зачем допускается Content-Length? Даже если это не прокси, а просто сервер, ему на какое значение ориентироваться?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру