| |
| 2.5, Аноним (5), 23:43, 05/10/2021 [^] [^^] [^^^] [ответить]
| –10 +/– | |
Надо не использовать http для того, для чего он изначально не предпологался.
Развели мартышек
| | |
| |
| |
| 4.99, Аноним (99), 17:56, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ага, фракталу с iPony расскажи. А то они бедные не знают куда приткнуться.
| | |
|
|
| 2.31, Аноньимъ (ok), 05:03, 06/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Чудеса и волшебства веба с кодированием знаками процента ничего уже не спасёт.
| | |
|
| 1.3, Урри (ok), 23:36, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Сами внесли, небось.
Сколько за исправление фонд из недавной новости денег отвалит?
| | |
| 1.4, Аноним (5), 23:42, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –17 +/– |
http головного мозга потому что. Файлы по http гонять, бред бреднятский
| | |
| |
| 2.18, Dr Nyanpasu (?), 00:43, 06/10/2021 [^] [^^] [^^^] [ответить]
| +12 +/– |
Иж чаво удумали, обмажутся своими файлами и давай по сети гонять!
Только буквами!
| | |
| 2.21, Enamel (ok), 00:49, 06/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А как гонять?
Чтоб на любом устройстве в браузере в один клик
| | |
| |
| |
| |
| 5.104, Аноним (99), 18:05, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Дык его из FF_а фсио, на мороз...
Ды FF и хром фсио, в помойку уже давно.
| | |
|
| 4.67, Аноним (67), 11:54, 06/10/2021 [^] [^^] [^^^] [ответить]
| –4 +/– |
Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох, туда ему и дорога.
| | |
| |
| 5.128, Michael Shigorin (ok), 22:59, 07/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> HTTP
> Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох
Барышня, Вы хоть педали не путаете?
Что с уровнями протоколов в голове каша, наиболее удобная как раз профессионалам подмены понятий -- видно даже по этой фразе.
| | |
| 5.133, Аноньимъ (ok), 01:20, 11/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
FTP может работать поверх защищенного соединения, кроме того, никто не отменял цифровой подписи.
Есть альтернативы FTP, для передачи !файлов!. HTTP не одна из них.
Мой комментарий был немного шуткой, в свете глобального уничтожения "устаревших" технологий.
Но только немного.
HTTP предназначен для передачи html !документов!, и больше ничего на самом деле, и только в этой роли можно сказать что он неплох.
| | |
|
|
| 3.101, Аноним (99), 18:03, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?
Занавес чувак, ищи другую работу.
| | |
| |
| 4.134, Enamel (ok), 05:31, 15/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?
Речь о том, как это сделать с минимальными усилиями на любом устройстве с любой ОС, где есть только браузер, ничего не устанавливая.
| | |
|
|
| |
| 3.105, Аноним (99), 18:06, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> А модный dav не так делает?
А есть ещё отсталые кому dav интересен? Это же прошлый век
| | |
|
| 2.81, Pahanivo (ok), 13:35, 06/10/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Для некоторых личностей вход на опеннет должен быть со справкой из наркологического диспансера.
| | |
|
| 1.11, Аноним (11), 00:11, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– |
Папач только под сервером Сысоева! Сысоев кросаффчег! Настоящий снг программист в сишечку,! Смуззяны, вам есть с кого брать пример.
| | |
| 1.12, Аноним (12), 00:14, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Однако! Мне было бы очень любопытно узнать кто это накодил и кто это рецензировал/принимал. Ну и на десерт еще чтобы расследование провели и выяснели было ли это намеренным действием или по причине смузихлебства.
| | |
| |
| 2.16, x3who (?), 00:36, 06/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Откуда там смузихлебство, у разработчиков гапача наверное старческий маразм просто. С детства при том.
| | |
|
| 1.13, gogo (?), 00:31, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
За что я любил ЦентОС - никаких ролинг-релизов...
Работало себе годами.
Убили...
| | |
| |
| 2.85, анонъчик (?), 14:32, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
На всякий случай скажу, что в CentOS 8 и Stream одна и та же версия Апача — 2.4.37, и с появлением слов "rolling release" в описании дистра он не превратился автоматически в Арч.
| | |
|
| |
| 2.37, aa (?), 06:56, 06/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
и как это помешает выполнить несколько запросов с разным количеством /.%2e/ ?
| | |
| |
| 3.43, пох. (?), 09:05, 06/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
один. С большим.
ls -la ../../../../../../../../../../../etc/passwd
-rw-r--r-- 1 root root 1299 Mar 7 2021 ../../../../../../../../../../../etc/passwd
| | |
| |
| 4.89, aa (?), 15:14, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
и?
мы можем выйти из неизвестного корня веб-сервера задав кучу ../ в начале пути, затем добавив известный путь типа /etc/password
| | |
|
|
|
| 1.17, Корец (?), 00:38, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты.
Да они гонят что ли? %) Ок. В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.
| | |
| |
| 2.20, x3who (?), 00:47, 06/10/2021 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.
А что, им кто-то пользуется? У чуваков на их сайте лет десять висела статья с разъяснением, что веб-серверу ненужна производительность и ею надо жертвовать в угоду конфигурябельности. Статью вроде уже убрали, но все уже давно поняли про масштабы поражения головного мозга разрабов.
| | |
| |
| |
| 4.38, aa (?), 07:00, 06/10/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
ну во-первых тут про "конфигурябельность" ни слова.
и вроде как логично, что любая программа должна в первую очередь работать корректно, а уже потом думать как ускориться.
| | |
| |
| 5.61, x3who (?), 11:11, 06/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– | |
1. По ссылке есть.
2. Так и получаются корректно работающие медленные приложения
| | |
| |
| 6.115, Аноним (115), 00:32, 07/10/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Какой ужас! Срочно накодьте нам быстрых некорректно работающих!
| | |
|
|
|
| 3.44, пох. (?), 09:09, 06/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
рюйске опять не умеет читать?
Там написано - производительность _достаточная_ - ср-ный пень прямой поставки из 90х справится с задачей забить канал типичного васяна нахрен.
А за рекордами отдачи статики в сферическом вакууме - не сюда, потому что это - для людей делали.
| | |
| |
| 4.83, Аноним (11), 14:11, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Они вон в фуфлоксе плагины переводчиков кушают и радуются. А ты говоришь читать, переводить...
| | |
| |
| 5.126, пох. (?), 12:29, 07/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
А, блжад, вероятно ты прав. Там явный канал в астральную преисподнюю в этих плагинах, поэтому если через них читать - можно ознакомиться с новостями из параллельной вселенной. Ну а поскольку канал через преисподнюю - изложение специфическое.
| | |
|
|
| 3.47, Онаним (?), 09:33, 06/10/2021 [^] [^^] [^^^] [ответить] | +3 +/– | Смотря что ты понимаешь под производительностью При отдаче статики оверхед апач... большой текст свёрнут, показать | | |
| |
| 4.59, Аноним (59), 11:05, 06/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да забудьте вы уже про sendfile, при практически стопроцентном https он абсолютно неактуален.
| | |
| |
| 5.111, Онаним (?), 21:23, 06/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
В случае HTTPS, во-первых, всю грязную работу всё равно делает openssl или что там вместо.
А во-вторых, в этом случае оверхед вообще несопоставим с самим апачем :D
Поэтому люди вменяемые HTTPS выносят на отдельные фронтенды, в т.ч. с полуаппаратным или аппаратным шифрованием. А за фронтендами таки sendfile :D
| | |
| |
| 6.132, Аноним (132), 14:20, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
В системах, где https терминируется на отдельном фронте, апачом статику никто и не раздаёт. :-)
Но в nginx/lighty там будет либо sendfile, либо aio (для крупных файлов). Только не стоит думать, что вызвал один раз sendfile и весь файл улетел, это далеко не так. Но все равно намного эффективнее, чем файл читать, конечно.
| | |
|
|
|
|
|
| |
| 2.63, Аноним (63), 11:25, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
В nginx, linux, postgresql, redis, postfix, exim типа ошибок нет)
| | |
| |
| 3.68, Аноним (67), 11:55, 06/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Типа есть, но там они - форс-мажор и из ряда вон. А тут - майнстрим.
| | |
| 3.95, Аноним (95), 15:57, 06/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
В Apache проекты никто не развивает. А в других хотя бы пытаются что-то делать.
| | |
| |
| 4.108, Аноним (108), 19:46, 06/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ещё один. Посмотри Apache Cassandra, Apache Ignite, Apache Kafka. Первая и вторая позиции в крупных проектах активно используются и активно пилятся, но ты же об этом не знаешь.
| | |
| |
| 5.109, Аноним (26), 20:06, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Это могильник биоотходов.
Форки Kafka/Cassandra лучше так как на нативном коде.
| | |
| |
| 6.121, Аноним (121), 10:01, 07/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Расскажи это Google, Facebook и им подобным. Пусть их смех от твоих слов разорвёт)
| | |
|
|
|
|
|
| 1.29, Ананоним (?), 03:50, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Я балдею канешно. Всё работало, не, зачесалось код покрасивше написать типа. Ну мы поверили, чо!
| | |
| 1.34, Аноним (34), 06:39, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> только в недавно выпущенной версии 2.4.49
> Проблема не проявляется, если доступ к каталогам явно запрещён при помощи настройки "require all denied"
Поленились написать как во всех пердыдущих ?
[CODE]
# Deny access to the entirety of your server's filesystem. You must
# explicitly permit access to web content directories in other
# <Directory> blocks below.
#
<Directory />
AllowOverride none
Require all denied
</Directory>
[/CODE]
| | |
| |
| 2.41, Аноним (41), 08:10, 06/10/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Все просто .htaccess файлы не нужны это максимально ненужная фича.
| | |
|
| 1.35, ыы (?), 06:41, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>проблема проявляется только в недавно выпущенной версии 2.4.49 и не затрагивает все более ранние выпуски.
Апдейты- зло!
| | |
| 1.39, Аноним (39), 07:35, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>уже активно эксплуатируемая 0-day уязвимость
Эксплоитера уже посадили, или работа в трёхбуквенншй организации даёт +100500 к иммунитету?
| | |
| |
| 2.54, Аноним (54), 10:26, 06/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> работа в трёхбуквенншй организации
Вы такие загадочные, в плаще до земли и с надвинутой на глаза шляпой с полями... Разъясните тугодуму, это где, в ЖЭУ или IBM?
| | |
|
| 1.46, Онаним (?), 09:21, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Ну вообще да, запрет для корня и разрешения для отдельных каталогов - это нормальная практика, которой пренебрегать не стоит.
С другой стороны даже это не позволит обойти возможность таким способом отдачи скрипта в виде текста, если есть симлинки к докрутам где-то, например. Но их ещё найти надо, это уже не так тривиально.
Мне правда ничего делать не пришлось, я ещё с 2.4.48 не успел шагнуть, обычно стараюсь пропустить 1-2-3 релиза прежде чем билдить новый, если конечно нет ничего совсем уж критичного в changelog. Continuous vulnerability deployment - это не про меня.
| | |
| |
| 2.53, Аноним (95), 10:11, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
А зачем что-то выполнять когда можно просто скачать базу данных если она есть.
| | |
|
| 1.50, Аноним (48), 10:01, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
А дебиан 9 уже не поддерживается? А то лень обновлять на 11, работает уже 4 года...
| | |
| |
| 2.52, Аноним (95), 10:09, 06/10/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
Зачем обновлять это рассадник дыр? Там уже своя экосистема. Доступ на твой дедик продали и теперь и кто-то очень огорчится если ты всё это закроешь.
| | |
|
| 1.55, Аноним (56), 10:26, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На хостингах он все равно работает в отдельном пользователе на каждый аккаунт. Или на каждый сайт
| | |
| |
| 2.57, Аноним (95), 10:38, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
PaaS это каменный век. Сейчас каждого хотя бы слегка уважающего себя веб-разработчика IaaS.
| | |
|
| 1.70, Аноним (70), 12:26, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>При помощи уязвимости можно загрузить доступные для чтения пользователю, под которым запущен http-сервер.
Внатуре 0-дау, это не лечится, наука бессильна.
| | |
| 1.75, Ilya Indigo (ok), 12:39, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 <Directory />
AllowOverride none
Require all denied
</Directory>
Разве это в конфигах индейца по умолчанию не прописано?
| | |
| |
| |
| 3.90, Ilya Indigo (ok), 15:18, 06/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Прописано.
Тогда мне не понятно, каким образом эта уязвимость может эксплуатироваться, причём активно?
| | |
| |
| 4.112, Онаним (?), 21:27, 06/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять, а не как в этих ваших нгинхах. В итоге берут - и делают allow на всё.
| | |
| |
| 5.114, Ilya Indigo (ok), 21:39, 06/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять,
> а не как в этих ваших нгинхах. В итоге берут -
> и делают allow на всё.
Ну так бери конфиг хоста у которого doc_root, например в /srv/www/htdocs/host и устанавливай на него хоть allow на всё, кроме скрытых файлов и директорий. Запрещающие права на корень при этом никак не мешают!
| | |
| |
| 6.124, InuYasha (??), 10:11, 07/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
плюсану. Мне вообще понравилась идея выносить устройства с данными на /srv и туда линковать всё что надо.
| | |
|
|
|
|
|
| 1.77, Аноним12345 (?), 12:40, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как интересно
Старые версии апача не подвержены атаке, а новые подвержены
Это ж праздник какой-то
| | |
| |
| 2.82, Аноним (11), 14:09, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Закрой его истинно православным хдвижком. Обретешь покой и умиротворение.
| | |
| |
| |
| 4.92, Аноним (11), 15:50, 06/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Погодь, пусть немножко пострадают:)
А в целом "мы работаем над этим".
Мне вот интересно когда люмину свежую ждать.
| | |
|
|
| 2.113, Онаним (?), 21:28, 06/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так откатись на 2.4.48. Или в бзде не откатиться, всегда только самое свеженас... простите, свежесобранное?
| | |
|
| 1.86, Аноним (87), 14:52, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> закодированный при помощи последовательности "%2e" символ точки в пути не нормализировался
Запахи в оценке чистоты идей кода и систем.
| | |
| 1.93, Gogi (??), 15:53, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Тот неловкий момент, когда туn0рылая система юниксовых каталогов была перенесена в мир Веб. Хлебайте теперь!
| | |
| |
| 2.97, Аноним (95), 17:22, 06/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты так говоришь как будто виндовая говносистема чем-то лучше.
| | |
| |
| 3.125, СеменСеменыч777 (?), 11:47, 07/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты так говоришь как будто виндовая говносистема чем-то лучше.
разумеется лучше ! наследование, блокировка наследования, блокировка блокировки наследования, группы внутри групп внутри групп - есть где развернуться. рай для ит-зардота.
| | |
|
|
| |
| 2.118, markus (?), 08:15, 07/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
то-есть выход из ситуации, можно просто заблокировать содержимое url /cgi-bin/ ?
| | |
| |
| 3.122, Аноним (110), 10:03, 07/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ага и вставать с колен такими методами борьбы. Хотя корейские хакеры вас нагнут.
| | |
|
| 2.119, Онаним (?), 08:16, 07/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, киддям скрипты на гвидобейсике заботливо разложили, играются.
| | |
|
| |
| 2.131, Аноним (131), 00:02, 08/10/2021 [^] [^^] [^^^] [ответить] | +/– | в 50 не дочинили critical Path Traversal and Remote Code Execution in Apach... большой текст свёрнут, показать | | |
|
|
