| 1.1, A.Stahl (ok), 13:14, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Ну написали бы какой-нибудь скрипт, который проверял бы наличие таких вот нюансов.
Тором ведь пользуются не только большие спецы. И для человека в таких вещах не шарящего, указанный момент может быть неочевиден уже потому, что этот человек мог впервые вообще слышать про mod_status.
А запустить скрипт и почитать ворнинги -- сможет каждый.
| | |
| |
| 2.5, Я (??), 13:23, 02/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, и апач тоже неспецы себе ставят.
| | |
| |
| |
| 4.34, _KUL (ok), 06:50, 03/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
 А пользователи не достигшие полового возраста nginx не ставят?
| | |
|
|
| |
| |
| 4.23, Аноним (-), 21:59, 02/02/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Может подгузники менять автоматически? На всякий случай, а то вдруг человек штаны одевать не умеет.
| | |
| |
| 5.35, lor_anon (ok), 10:05, 03/02/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Ну нельзя же быть спецом во всём. Вот анон не знает, что по-русски правильно "надеть".
| | |
|
|
|
| 2.11, Аноним (-), 14:06, 02/02/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Тут проблема не Apache а Tor который выдаёт loaclhost туда от куда его видно быть не должно, а ведь там не только /server-status/ может быть но и какой-нить *sqladmin с дефолтным паролем ;)
| | |
| |
| 3.24, Аноним (-), 22:02, 02/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Тут проблема не Apache а Tor который выдаёт loaclhost туда от куда
> его видно быть не должно,
А куда его еще выдавать? В документации честно предупреждают. И наверное желание поднять скрытый сервис все-таки подразумевает минимальное знание работы сетей. Иначе стоит заниматься чем-нибудь попроще. Сельским хозяйством, животноводством...
| | |
| |
| 4.28, dimqua (ok), 00:32, 03/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > чем-нибудь попроще. Сельским хозяйством, животноводством...
О, илитка пожаловала.
| | |
| 4.32, Аноним (-), 02:23, 03/02/2016 [^] [^^] [^^^] [ответить]
| +6 +/– | |
>Иначе стоит заниматься чем-нибудь попроще. Сельским хозяйством, животноводством...
Посмотрим, сколько ты протянешь на сельском хозяйстве, прежде чем у тебя все звери сдохнут.
| | |
|
|
|
| 1.3, Аноним (-), 13:19, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Круто, столько лет этому tor'у, а такой косяк только сейчас выловили. Интересно, сколько onionman о нем знали и эксплуатировали в тихую, а теперь будет универсальный "Скрипт-Закрыватор-Бага-Вася777-Эдишон-Утьтимэйт.{bat,sh}" который покажет им Болт.
| | |
| |
| 2.25, Аноним (-), 22:04, 02/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Круто, столько лет этому tor'у, а такой косяк только сейчас выловили.
Тупость админов - давно известный косяк. Но в случае tor он делает использование tor малорезультативным и от этого довольно сложно что-то придумать. Давно известно что дураки находят очень изобретательные способы обхода защит от дурака.
| | |
|
| |
| |
| 3.18, lululu (?), 15:12, 02/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
1 Большинство людей скорее-всего пользуются бинарными сборками с сайта и при наличии исходников проверять их никто не будет.
2 Их количество будет достаточно чтобы получить контроль над сетью. Как сеть ведёт себя они скомпроментированы?
| | |
| |
| 4.26, Аноним (-), 22:21, 02/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Какая компрометация? Вы о чем? Это позволяет полазить по статистике апача, если админ - лошпед. Это позволяет набрать данных о том что происходит на сервере, что плохо но само по себе даже не деанонимизирует никого. Но позволяет атакующему набрать данных для более прицельных атак.
| | |
| |
| 5.38, AdVv (ok), 21:39, 04/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Чукча не читатель, чукча писатель ?
Это позволяет увидеть в этой самой статистике внешний IP скрытого Tor-сервиса, если Апач слушает не только localhost. Что, собственно, полностью его компрометирует.
| | |
|
| 4.29, dimqua (ok), 00:41, 03/02/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> бинарными сборками ... проверять их никто не будет
Достаточно всего несколько раз проверить. Вот только не говорите, что никто и никогда этого не делал.
| | |
|
|
| 2.40, AdVv (ok), 21:42, 04/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> От намеренно дырявого тора ожидали чего-то другого?
Предложите альтернативу ?
| | |
|
| |
| 2.12, 1 (??), 14:06, 02/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Вот поддерживаю.
Tor-ом можно на любой порт localhosta выйти ?
| | |
| |
| 3.21, sage (??), 17:36, 02/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, почему вы так думаете? Он же проксирует определенный порт на определенный порт.
| | |
|
|
| 1.14, Алекс (??), 14:22, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.
Вот тебе и анонимный браузер! Как ни крути, а IP адрес все равно узнаешь через передаваемые запросы, к которой привязана локальная машина!
| | |
| |
| 2.20, Нанобот (ok), 17:24, 02/02/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
 >Вот тебе и анонимный браузер!
где ты там видишь слово "браузер"?
| | |
| 2.39, AdVv (ok), 21:40, 04/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
>>>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.
> Вот тебе и анонимный браузер! Как ни крути, а IP адрес все
> равно узнаешь через передаваемые запросы, к которой привязана локальная машина!
Уровень подготовленности аудитории opennet растет от года к году. СпасибоШигоринуЗаЭто.
| | |
|
| 1.16, Аноним (-), 14:32, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
и в каком из дистрибутивов этот модуль включен по-умолчанию? а то у меня rm на всех серверах есть, и наверное уже пора писать на опеннет новость
| | |
| |
| 2.33, angra (ok), 06:02, 03/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Если речь именно про "модуль включен по-умолчанию", то это как минимум в rhel и debian, то есть с учетом производных получаем подавляющее большинство серверов.
| | |
| |
| 3.36, Аноним (-), 11:51, 03/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
#
# Allow serverstatus reports generated by mod_status,
# with the URL of http://servername/server-status
# Change the ".example.com" to match your domain to enable.
#
#<Location /server-status>
# SetHandler server-status
# Order deny,allow
# Deny from all
# Allow from .example.com
#</Location>
где этот твой минимум, балаболка? среди модулей?
| | |
|
|
| |
| 2.27, Аноним (-), 23:07, 02/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> А что тут удивляться, тор специально был создан для таких целей.
Все проще: безопасность не получается нажатием 1 кнопки. А до того как тыкать 500-фунтовых горилл палочкой - проверьте прочность вольера.
| | |
|
| 1.22, EuPhobos (ok), 19:01, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 127.0.0.1/8 их, локалхостов, целых 16 млн.. юзай-нехочу, а все вяжут всё к одному, единственному.. что за .. ох ладно.
| | |
| |
| 2.30, Аноним (-), 00:43, 03/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Есть только один истинный localhost - ::1, остальные - от лукавого
| | |
|
|
