https://opennet.ru/openforum/vsluhforumID3/133311.html Раскрыты сведения об методе атаки "Continuation flood", затрагивающем различные реализации протокола HTTP/2, среди которых Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2. Уязвимость может использоваться для совершения атак на серверы с поддержкой HTTP/2.0 и в зависимости от реализации приводит к исчерпанию памяти (прекращение обработки запросов или аварийное завершение процессов) или созданию высокой нагрузки на CPU (замедление обработки запросов). По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна, чем найденная в прошлом году уязвимость "Rapid Reset", использованная для совершения крупнейших на то время DDoS-атак...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60924<br> https://opennet.ru/openforum/vsluhforumID3/133311.html#79 Sat, 06 Apr 2024 18:53:09 GMT &gt; По моему отстал не я. H2 технически более совершенная штука.<br><br>Это ничего не значит.<br><br><br>&gt; Крупняк который это ВЕСЬ сделал - умеет такое ;)<br><br>Миллионы мух не могут ошибатся.<br><br><br>&gt; Чем лучше UX тем чаще и охотнее юзают сервис.<br><br>Где UX и где задержка в 5 мс?<br><br><br>&gt; А в прокси это как?<br><br>Proximitron и тому подобные штуки.<br>Они тоже умели резать регэкспами на лету страницы, и его достаточно было одного на всю домашнюю сеть.<br><br><br>&gt; Даю 99.5% что это синдром утенка и/или NIH.<br><br>Утёнок тут даже близко не стоял, не уверен что вы понимаете суть этого явления.<br>NIH - нет.<br>Это кастомизация под себя, а не переизобретение существующего.<br><br><br>&gt; Не хуже чем ваши конструкции на шелле.<br><br>Конструкции на шеллскрипте работают и делают что надо, а у вас хоть что то хэнд мейд есть или страшно?<br><br><br>&gt; А там нет ни wget ни нетката?<br><br>Не всегда оно оно есть :(<br><br><br>&gt; Почему я должен с вон тех спросить а с вашей наколени - нет? Вы типа особенный?<br><br>Да, я очень особенный.<br>И я вам показал волшебный openat().<br><br><br>&gt; И все равно бу https://opennet.ru/openforum/vsluhforumID3/133311.html#78 Sat, 06 Apr 2024 10:56:21 GMT На рубях написан хттп сервер? Сколько там запросов в секунду? 5-10?<br> https://opennet.ru/openforum/vsluhforumID3/133311.html#77 Sat, 06 Apr 2024 06:03:35 GMT &gt; Вы отстали, там уже всё лишнее давно срезали.<br><br>По моему отстал не я. H2 технически более совершенная штука.<br><br>&gt; Жрёт больше, работает лучше.<br><br>Поэтому верхушка top busiest на h2? ;)<br><br>&gt; У вас помимо боязни багов ещё фобия до использования системных ресурсов :) <br><br>Двойные стандарты не рулят. Я применю к вам ваши же заявочки в адрес вон тех и посмотрю как вы под этим углом. Так честнее.<br><br>&gt; То что кто то включил на сервере http/2 не означает что это было решение принятое<br>&gt; на основании каких либо изысканий, считай обдуманное и обоснованное.<br><br>Крупняк который это ВЕСЬ сделал - умеет такое ;)<br><br>&gt; Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс, <br><br>Чем лучше UX тем чаще и охотнее юзают сервис. Иногда запрос не оч важен, юзер колеблется между забить или спросить. Чем тормознее, тем больше выберут "забить".<br><br>&gt; Так же как до того они возможно увидели тенденцию что рекламу вырезать <br>&gt; на обычном http проекси очень легко и начали всех натягивать на TLS.<br><br>Легче - в браузерной сп https://opennet.ru/openforum/vsluhforumID3/133311.html#76 Fri, 05 Apr 2024 19:32:58 GMT &gt;Он вообще вроде как фича СОРМ изначально задуман был. Но фичу прочухали и стали юзать.<br><br>Он был задуман для биллинга выхода на автоматический межгород ("8") на координатных и прочих старых АТС.<br> https://opennet.ru/openforum/vsluhforumID3/133311.html#75 Fri, 05 Apr 2024 16:43:33 GMT По крайней мере одна реализация существует. Но вообще-то это типичная задача для реализации на С и прикручивания биндингов для более высокоуровневых разных языков. Чтобы и реализация была быстрой, и разработка.<br> https://opennet.ru/openforum/vsluhforumID3/133311.html#74 Fri, 05 Apr 2024 16:34:14 GMT &gt; Пусть лучше покажет парсер HTTP/2 на рубях<br><br>Вас в гугле забанили что ли?<br><br>https://github.com/igrigorik/http-2<br> https://opennet.ru/openforum/vsluhforumID3/133311.html#72 Fri, 05 Apr 2024 11:55:59 GMT &gt;сами себе противоречите <br><br>- способны написать в чём? Лично я противоречий в своем посте не вижу, но если что-то непонятно готов пояснить<br><br>&gt;а с джавой действительно всё хорошо %) <br><br>- если Вы такой умный, то подскажите дуракам, есть описанная уязвимость в Tomcat или нет? Или Вы только по советам мастер?<br><br><br> https://opennet.ru/openforum/vsluhforumID3/133311.html#71 Fri, 05 Apr 2024 10:49:50 GMT Помню как в 2000-е телефонисты в СМИ возмущались тому что проклятые dial-up-ы делают на их телефонных линиях бабло, а им только нагрузка на сеть достается.<br>А еще байки о том как в Москве в 90-ые и начале нулевых по ночам шли обзвоны в поисках модемов которые трубку поднимут. Искали "нелегальные узлы связи",а так же фидонетчиков всяких.<br><br>Впрочем, говорят в 90ые после распада СССР принтеры полагалось в милиции регистрировать поначалу, а то вдруг самиздат начнется...<br> https://opennet.ru/openforum/vsluhforumID3/133311.html#70 Fri, 05 Apr 2024 10:38:43 GMT &gt; Зато протокол может поубавить их число и влияние на перфоманс.<br><br>Вы отстали, там уже всё лишнее давно срезали.<br><br><br>&gt; Это жрет больше системных ресурсов и генерит больше пакетов, и в целом таки работает хуже.<br><br>Жрёт больше, работает лучше.<br>У вас помимо боязни багов ещё фобия до использования системных ресурсов :)<br><br><br>&gt; Cold blooded fact: h2 в мониторе сети моего браузера<br><br>То что кто то включил на сервере http/2 не означает что это было решение принятое на основании каких либо изысканий, считай обдуманное и обоснованное.<br><br><br>&gt; Ему кое-что другое надо было - user experience в их сервисах. Чтобы остальных задвинуть чисто технологически.<br><br>Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс, там его два процента приросло и то если правильно считать. Они посчитали деньги и не смогли отказатся.<br>Так же как до того они возможно увидели тенденцию что рекламу вырезать на обычном http проекси очень легко и начали всех натягивать на TLS.<br><br><br>&gt; Можно. Но лучше не нужно. Ибо 99.9% что там