Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Многочасовой сбой Cloudflare оказался результатом некорректной обработки ошибок"	+/–
Сообщение от opennews (??), 19-Ноя-25, 07:47
Компания Cloudflare опубликовала разбор одного из крупнейших инцидентов в своей инфраструктуре, из-за которого вчера большая часть сети доставки контента оказалась неработоспособной на протяжении более 3 часов. Сбой произошёл после изменения в структуре БД, размещённой в хранилище ClickHouse, после которого файл с параметрами для системы противодействия ботам в два раза увеличился в размере. В БД были образованы дублирующиеся таблицы, при том, что SQL-запрос для формирования файла просто выводил все данные из всех таблиц по ключу, без отсеивания дубликатов... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64282
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от 1 (??), 19-Ноя-25, 07:47	+1 +/–
Как защищать свои сайты и доменьчики от ботов без клауды и подобных?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #7, #10

2. Сообщение от morphe (?), 19-Ноя-25, 07:48	+10 +/–
Опять во всём Rust виноват
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #59

3. Сообщение от анон (?), 19-Ноя-25, 07:48	+/–
Как минимум самохостинг go-away или anubis
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13, #23, #24, #51

4. Сообщение от Аноним (4), 19-Ноя-25, 07:49	–1 +/–
Вот такого от раста я не ожидал!
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Кошкажена (?), 19-Ноя-25, 07:50	+6 +/–
Кода на си становится все меньше... Новости про ошибки в расте появляются все чаще... Случайность? Не думаю.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (26), 19-Ноя-25, 07:50	+5 +/–
> Ошибка была вызвана использованием в коде на языке Rust метода unwrap() с типом Result. А ведь даже тут растофилы хвасталась, что вон в Клаудфларе кучу кода пишут на расте, а они 10000% интернета фильтруют
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64

7. Сообщение от name (??), 19-Ноя-25, 07:52	–2 +/–
ddos guard
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Кошкажена (?), 19-Ноя-25, 07:53    Скрыто ботом-модератором	+6 +/–
> Обычно unwrap() применяется в процессе отладки или при написании тестового кода и не рекомендован для использования в рабочих проектах. Угу. Что-то как ни откроешь код на расте, то там "ехал unwrap() через unwrap()". Получается это все не настоящие си^Wрастоманы пишут?
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (-), 19-Ноя-25, 07:53	+/–
Отлично! Благодаря unwrap() получился DoS, а не выполнение стороннего кода, как в соседней новости, и взлом серваков! Всего 3 часа отсутствия инета, ошибка найдена и исправлена. Так держать клаудфаря! Главное - безопасноть :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

10. Сообщение от Bottle (?), 19-Ноя-25, 07:54	+1 +/–
Клаудтвари сами же этих ботов и запускают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (30), 19-Ноя-25, 07:54	+5 +/–
Типичный раст, постоянные падения это его коронная фишка. Низкая культура разработки, что поделать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #38

12. Сообщение от Oldi (?), 19-Ноя-25, 07:56	+/–
Непонятно как возникла и расползалась этот tablespase
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 19-Ноя-25, 07:56	+3 +/–
Из-за anubis много раз не мог попасть на lore.kernel.org, в Firefox зависал или не догружался скрипт. Только недавно починили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #19, #21, #22

14. Сообщение от Анонимусс (-), 19-Ноя-25, 07:57	+/–
> Сбой произошёл после изменения в структуре БД, размещённой в хранилище > ClickHouse, после которого файл с параметрами для системы > противодействия ботам в два раза увеличился в размере. Мда... Они не тестируют миграцию БД перед выкаткой на прод? Изменения в структуре БД это не два байта отослать, тут нужно быть аккуратным.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

16. Сообщение от morphe (?), 19-Ноя-25, 08:01	+9 +/–
А было бы на си - данные спокойно записались бы за пределами выделенного буфера, переписали несколько случайных структур, и все были бы счастливы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #26, #27, #53, #58

17. Сообщение от Аноним (-), 19-Ноя-25, 08:02	+/–
> постоянные падения это его коронная фишка Вообще-то падения стали мемом плазмы, которая совсем не на расте. "Низкая культура разработки, что поделать" (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #28, #60

19. Сообщение от Аноним (-), 19-Ноя-25, 08:05	–19 +/–
> в Firefox зависал или не догружался скрипт Типичная проблема недобраузеров. Радуйтесь что вообще исправили. Если использовать нормальных хром, то такого не бывает практически никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #57

20. Сообщение от Аноним (26), 19-Ноя-25, 08:05	+4 +/–
> тут нужно быть аккуратным. Ой, хоспади... Там раст везде он всё проверит сам и по рукам надаёт если делаешь что-то не так, не надо больше думать... да не о чем не надо больше думать. Да, даже во время миграции БД
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

21. Сообщение от Анонимно (ok), 19-Ноя-25, 08:06	+/–
4 месяца cloudflare не может починить прохождение капчи в любых версиях Firefox для Linux > 141 версии. Бесконечно обновляет свою капчу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #30

22. Сообщение от Аноним (22), 19-Ноя-25, 08:06	+3 +/–
Ага, а лично я намного чаще не мог подключиться к сайтам как раз из-за Cloudflare, чем из-за Anubis. Из под Tor'а вообще вкуснотища, бесконечные капчи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

23. Сообщение от morphe (?), 19-Ноя-25, 08:06	+/–
> Как минимум самохостинг go-away или anubis Самохостинг это хорошо, однако они спасут только от L7 атак, когда корявый (других не бывает) PHP код по 20 SQL запросов шлёт в ответ на запрос от юзера И то не факт, в случае если сайт изначально полумёртвый под нагрузкой из 10 юзеров, однако тут даже cloudflare мало поможет А от L4, от которого защита тебе потребуется сильнее, самохостинг тебя не спасёт, и надо уже иметь сеть которая способна удар принять и трафик отфильтровать до твоей машины Однако с этим способны справляться уже все облака, и можно спрятать дедики за реверс-прокси на облаках потенциально того же самого провайдера
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

24. Сообщение от Аноним (24), 19-Ноя-25, 08:08	–2 +/–
> anubis Не надо пихать это вредоносное ПО от анимешников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #43

25. Сообщение от Аноним (-), 19-Ноя-25, 08:09	–9 +/–
> Из под Tor'а вообще вкуснотища, бесконечные капчи. Всем известно (с), что тором пользуются только драгдиллеры, любители ЦП и Столлмана. Поэтому правильно делают что не пускают таких к себе на сайты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #52

26. Сообщение от Аноним (26), 19-Ноя-25, 08:10	+3 +/–
А мы не знаем что было бы, если было бы на Си. Но знаем что уже было, когда было (и до сих пор есть, а значит будет еще) на расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #32

27. Сообщение от Анонимусс (-), 19-Ноя-25, 08:14	+2 +/–
> переписали несколько случайных структур ...запороли бы данные, получили бы неконсистентное состояние, выполнили бы случайный код... А может все было бы хорошо. Но для того чтобы это узнать, нужно чтобы код был написан на сишке. Вот когда на си перепишут, тогда и поговорим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

28. Сообщение от Аноним (30), 19-Ноя-25, 08:17	+/–
У меня до сих пор падает каждый день, файловые дескрипторы кончаются. Исправлять, конечно, не спешат, как explicit sync добавили -- это сплошной треш каждый день, и если с иксами просто перезапускалось, то с вейландом падает и всё. Но это у меня systemd нет, перезапустить, видимо. Видишь, тут ничего не поделать. А вот с падениями ripgrep ты вполне можешь что-то сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

30. Сообщение от Аноним (30), 19-Ноя-25, 08:19	+/–
Это винится сменой айпи на американский.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #44

32. Сообщение от Аноним (32), 19-Ноя-25, 08:27	+2 +/–
>А мы не знаем что было бы, если было бы на Си А смешно и тонко ты над сишниками подшутил с их undefined behavior.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

34. Сообщение от AleksK (ok), 19-Ноя-25, 08:30	+1 +/–
Офигеть, Cloudflare использует ClickHouse от Яндекса.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

38. Сообщение от llolik (ok), 19-Ноя-25, 08:45	+1 +/–
> постоянные падения это его коронная фишка Можно хоть на Си такое-же написать. Понятно-же, что unwrap() - это, если проводить аналогии, дальнейшее развитие идеи assert-а. Буквами по белому написано, что НЕ надо его использовать в production-коде. Но, как всегда, имеем вот это вот всё и виноват, конечно-же, Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #41, #48, #63

39. Сообщение от Аноним (39), 19-Ноя-25, 08:49	+/–
Это уже давно не Яндекс. И от Яндекса они сами открещиваются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42, #45

40. Сообщение от iCat (ok), 19-Ноя-25, 08:51	–1 +/–
"Оно должно само"... Да?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

41. Сообщение от Аноним (26), 19-Ноя-25, 08:53	+1 +/–
> Но, как всегда, имеем вот это вот всё и виноват, конечно-же, Rust. какие-то неправильные программисты на расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #49

42. Сообщение от AleksK (ok), 19-Ноя-25, 09:04	+1 +/–
> Это уже давно не Яндекс. И от Яндекса они сами открещиваются. Один фиг основные разработчики из России. А эти типичные https://leonardo.osnova.io/c0d6e974-e746-527e-a05b-d90973c21.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от Аноним (43), 19-Ноя-25, 09:07    Скрыто ботом-модератором	+/–
небинарных анимешников
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

44. Сообщение от Анонимно (ok), 19-Ноя-25, 09:14	–1 +/–
Для прохождения капчи cloudflare надо переехать в США? Зачем такой костыль нужен и кому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #46

45. Сообщение от Кошкажена (?), 19-Ноя-25, 09:18	+/–
Напоминает как Волож открещивается от того, что он русский.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

46. Сообщение от Аноним (30), 19-Ноя-25, 09:21	+/–
Как вариант. Достаточно пропустить трафик через посредника. Это такая фишка у cloudflare.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

47. Сообщение от Аноним (-), 19-Ноя-25, 09:24	+/–
> "Оно должно само"... Да? Вообще-то да. И оно это сделало. Память не испортили, за пределы буфера не вышли, сторонний код не исполнили. Софтину в некорректном стейте грохнули. Данные не пострадали. Все как и ожидалось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #62

48. Сообщение от Кошкажена (?), 19-Ноя-25, 09:27	+/–
> дальнейшее развитие идеи assert-а. Если это было бы так, то код бы работал в проде, т.к. ассерт для дебага. > Буквами по белому написано, что НЕ надо его использовать в production-коде. Но, как всегда, имеем вот это вот всё и виноват, конечно-же, Rust. Если так рассуждать, то буквами по белому написаны ub, но как всегда имеем вот это вот всё и виноват, конечно-же, Си.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

49. Сообщение от Кошкажена (?), 19-Ноя-25, 09:28	+/–
> какие-то неправильные программисты на расте У них обычно виноват кто угодно, кроме них самих, ведь им дали такой инструмент.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

50. Сообщение от Кошкажена (?), 19-Ноя-25, 09:29	+1 +/–
> Всего 3 часа отсутствия инета, ошибка найдена и исправлена. > Так держать клаудфаря! Главное - безопасноть :) Если нет сети, то нельзя выполнить удаленную уязвимость (smartblackguy.jpg)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

51. Сообщение от Аноним (51), 19-Ноя-25, 09:31	+1 +/–
Грамотно настроенный WAF и рейт лимиты помогают, но довольно геморно это все отлаживать. Из коробочных решений BunkerWeb для себя нашёл, почти что CF у себя дома. Но в будущем хотелось бы этот комбайн на что-то модульное сменить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

52. Сообщение от 1 (??), 19-Ноя-25, 09:32	+/–
любители ЦП -- это кто?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #54

53. Сообщение от Аноним (53), 19-Ноя-25, 09:35	+1 +/–
А было бы на Си, проверили бы три раза на тестовом стенде, прежде чем пихать с пылу с жару на боевой сервер. А тут свято уверовали в безопасную безопасность и безопасно без тестирования на несколько часов опRustоволосились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #55, #61

54. Сообщение от Аноним (-), 19-Ноя-25, 09:36	+/–
> любители ЦП -- это кто? Те, про кого мозолеед говорил "I could not see anything wrong about sex between an adult and a child" :) Преступники во всех нормальных странах и даже в некоторых не сильно нормальных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от Анонимусс (-), 19-Ноя-25, 09:38	+/–
> А было бы на Си, проверили бы три раза на тестовом стенде ... и все равно бы вышли за пределы буфера))) Хотя глядя как в ядро мерджат сишных код в обход всех ревью, что-то не верится в "проверили бы три раза".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

56. Сообщение от Аноним (61), 19-Ноя-25, 09:42	+/–
Это самая крутая новость, что я читал на опеннете!! Паблишеру громадный лайк! Потому что: 1. Сразу понятна суть инцидента 2. (самое главное) приведён пример бажного кода - по его уровню можно судить о том, какого уровня uндycятuна была нанята на такую важную инфраструктуру. Да и в целом видно, насколько долго и непрофессионально чинили элементарный баг. 3. Наглядно показана несуразность Ржи и её нелепый рекламный слоган "зато безопасная память!". Как видно, программы состоят ДАЛЕКО не только из памяти! Вся программа зависит от КВАЛИФИКАЦИИ программиста и практически невозможно придумать "инструмент для дураков" (Rust), потому что только дурак и захочет им пользоваться.
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от Аноним (-), 19-Ноя-25, 09:43	+/–
Ого, уже целых 16 минусов наставили! Неужели я так сильно задел любителей лисички? Вы уж простите, все время забываю что у вас очень обидчивое меньшинство))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

58. Сообщение от Аноним (58), 19-Ноя-25, 09:44	+1 +/–
Если помнить, что на Си написаны миллиарды строк кода, то такие случаи находятся в районе статистической погрешности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

59. Сообщение от Аноним (61), 19-Ноя-25, 09:45	+/–
Ну да, а кто ж ещё?! Не Раст ли бегает и на каждом углу кричит "пешыте на расте у нас нет проблем с памятью"? А зачем нам вообще нужен раст?!! Ну вот так чисто по-программерски ответь. В С++ всё есть, от безопасной памяти до крутого ООП и ТЫСЯЧ полезных библиотек. Накой ляд тут ржа??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

60. Сообщение от Аноним (58), 19-Ноя-25, 09:46	+/–
Так там плюсы, а не чистый Си.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

61. Сообщение от Аноним (61), 19-Ноя-25, 09:46	+/–
+1. Чем больше ржа-апологеты кричат о безопасности, тем больше народ думает, что вообще думать не надо - просто жонглируй указателями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

62. Сообщение от Аноним (62), 19-Ноя-25, 09:46	+/–
> Все как и ожидалось. могу поспорить, что клиентами не ожидалось 3 часа простоя из-за использования unwrap, который "не рекомендован для использования в рабочих проектах". Нужен анврап-чекер, который будет заставлять переписывать без анврапов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

63. Сообщение от Аноним (58), 19-Ноя-25, 09:47	+/–
На Си пишут люди, а не трансы. Всё просто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

64. Сообщение от пох. (?), 19-Ноя-25, 09:47    Скрыто ботом-модератором	+/–
Ну вот и отфильтровали. Ну не 10000 но процентов 50 таки опа, чтотапаламалася и отфильтровалася от посетителей. И пол-дня не были в состоянии раздуплиться и починить (потому что поназаменяли админов девляпсами) Зато на хрусте!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема