Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак"	+/–
Сообщение от opennews (??), 14-Авг-25, 10:28
Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63726
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 14-Авг-25, 10:28    Скрыто ботом-модератором	–14 +/–
>"Проблема проявляется также на сайтах и серверных сервисах Mozilla." У Mozilla всегда проблемы, она без них не может! 4% рынка как не как! Уже дропать и  закапывать надо!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #4, #6, #28

2. Сообщение от Аноним (2), 14-Авг-25, 10:41	+/–
Они и так уже уволили инженеров, чтобы хватило на откат CEO. Что ещё ты хочешь? Берут, что есть в опенсорсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #5

3. Сообщение от Голдер и Рита (?), 14-Авг-25, 10:44	+/–
Жалко их, конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14

4. Сообщение от L10N (ok), 14-Авг-25, 10:49	+1 +/–
4% рынка - в цифрах от 115 до 300 млн активных пользователей по разным оценкам. Каждому бы софту такую долю рынка. Например, доля рынка Linux на рынке ОС - 4-6%. И у Mozilla не только проблемы. Они не только софт производят, но и разрабатывают стандарты типа DNS over HTTPS, где они в соавторах RFC, языков (Rust изначально разрабатывался Mozilla) и т.п. Не принижайте :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #42

5. Сообщение от L10N (ok), 14-Авг-25, 10:51	+1 +/–
Не успеваю переводить на русский всё, что они в последнее время создают в плане функций (GUI & KB). Только в последнем релизе Firefox появилось 12, если правильно помню, новых разработчиков в сообществе. В release notes сейчас их перечисляют. Уязвимость как уязвимость. Разберутся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10

6. Сообщение от Аноним (-), 14-Авг-25, 10:53	+/–
> У Mozilla всегда проблемы, она без них не может! 4% рынка как не как! > Уже дропать и  закапывать надо! Дизайнеры и манагеры не умеют в код и протоколы. Вот например принять решение о том как еще кровати переставить, тьфу, то-есть контролы - это они всегда пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #8

7. Сообщение от L10N (ok), 14-Авг-25, 10:56	+1 +/–
У вас тоже дизайнеры занимаются разработкой и протоколами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15

8. Сообщение от Жироватт (ok), 14-Авг-25, 10:57	+1 +/–
Ты забыл про форму вкладок!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от L10N (ok), 14-Авг-25, 10:59	+/–
UX тоже важен и Mozilla реагирует на то, что пользователи запрашивают в Mozilla Connect, почему нет. Но под капотом происходят куда более значительные изменения, если их отслеживать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11

10. Сообщение от Жироватт (ok), 14-Авг-25, 11:02	–1 +/–
А что там переводить-то? - GetInclusiveDict() - TranslateFromNormalToInclusiveLang(string WASP_Word) - AddNewPrideMonthTheme() - RoundNewTabMoreInnovatuvely() - AddNewProbeInYourA55() в переводах не нуждаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12

11. Сообщение от Жироватт (ok), 14-Авг-25, 11:04	+/–
Опппачки, мозилловцы нам даже собственного продавайку выделили. Ты только на опеннете проповедовать будешь, или оплатили пеар по спектру русскоязычных сайтов? Под капотом там, изменения, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13

12. Сообщение от L10N (ok), 14-Авг-25, 11:07	+1 +/–
Зайдите в Pontoon и в SUMO, посмотрите. Десятки проектов, от десятков до сотен строк в день, от нескольких до десятков изменений в статьях KB. Почти каждый вечер что-то обновляю/добавляю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #22

13. Сообщение от L10N (ok), 14-Авг-25, 11:08	+/–
Нет, я Mozilla занимаюсь pro bono. Хотите запретить? Лидер русской локализации, приятно познакомиться :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #23, #25

14. Сообщение от Аноним (14), 14-Авг-25, 11:32	+/–
а вот не надо было изобретать безопасные языки, что, помогли они, сынку? (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от Аноним (14), 14-Авг-25, 11:38	+/–
Ты недооцениваешь мощь ИИ и "имхо" дизайнеров!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #17

16. Сообщение от Аноним (14), 14-Авг-25, 11:40	–1 +/–
А как пели про хттп/2, как его впи... внедряли.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #19

17. Сообщение от L10N (ok), 14-Авг-25, 11:43	+/–
Мне сложно относиться к ИИ необъективно, я знаю, как они устроены :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от L10N (ok), 14-Авг-25, 11:45	+3 +/–
Уязвимость не в протоколе, а в реализациях. Читайте внимательно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #37, #54

19. Сообщение от Аноним (19), 14-Авг-25, 11:45	+/–
Ну так скажи спасибо Гуглу за это. На моей памяти несколько разрабов, связанных с реализацией HTTP, просто на мат переходили, когда речь заходила о HTTP/2.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20, #60

20. Сообщение от L10N (ok), 14-Авг-25, 11:46	+/–
Ниасилили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #47

21. Сообщение от Аноним (21), 14-Авг-25, 11:50	+2 +/–
очередной хакер с солонкой. расстрелять!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #26

22. Сообщение от Аноним (22), 14-Авг-25, 11:57	+/–
Куда-куда пойти?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #44

23. Сообщение от Жироватт (ok), 14-Авг-25, 11:59	+1 +/–
Не, мне реально интересно. Ну рад познакомится, Лидер. За монетку подрядили переводчика подрабатывать евангелистом на опеннете, або за так, за идею работаешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #27, #45

24. Сообщение от Жироватт (ok), 14-Авг-25, 12:02	+/–
Хакер сыпет соль в солонку не через отверстие, а через дырочки, дырочки - естественно - забиваются и соль начинает высыпаться наружу, и погребает под собой солонку. Легитимный юзер не может воспользоваться солонкой, не откопав её из-под насыпанной соли...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #40

25. Сообщение от Аноним (22), 14-Авг-25, 12:17	+/–
Как там Юрий Меркулов поживает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #48

26. Сообщение от Аноним (22), 14-Авг-25, 12:18	+/–
Только солонка стоит в кафе, в котором официанты роботы, а не люди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30

27. Сообщение от Аноним (-), 14-Авг-25, 12:20	+1 +/–
> на опеннете, або за так, за идею работаешь? Ну, с ним предположим понятно. А ты свои продукты жизнедеятельности по какой причине по форуму размазываешь? Расскажи всем где тебя Мозилла трогала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #31

28. Сообщение от Аноним (28), 14-Авг-25, 12:37	+2 +/–
У гугло-юзеров всё как всегда - сайты от браузеров отличить не могут . :) Вот что ии  животворящий делает .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

30. Сообщение от Аноним (30), 14-Авг-25, 12:41	+/–
И все посетители - тоже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #33

31. Сообщение от Аноним (-), 14-Авг-25, 12:49    Скрыто ботом-модератором	+1 +/–
Здесь половина пациентов тронутая на теме безопасных языков, за это Мозиллу и ненавидят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от Аноним (-), 14-Авг-25, 12:52    Скрыто ботом-модератором	+/–
И хакеры - тоже роботы! Ходють всякие в порты заглядывают. А потом солонки пропадают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (34), 14-Авг-25, 13:28	+/–
> Статус наличия уязвимости в nginx не определён. Так определяйте. Это самый популярный сервер в интернете, на минуту, а они про какой-то сраный апач пишут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #36

35. Сообщение от Аноним (35), 14-Авг-25, 13:36	+/–
Куда спешить, потом цапцарапнут готовое решение у апача.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от Аноним (36), 14-Авг-25, 13:49	+/–
>HAProxy проблеме не подвержен Ключевые слова. А что там на бэкэнде используется значения не имеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от Филя (?), 14-Авг-25, 13:50	+/–
А реализации кто-нибудь стандаризирует? Апачи Фаундейшен скажем. FIPS стандартизирует openssl для гос. сектора например, фстэк у вовы какие-то сетевые устройства перед использованием в гос. секторе и тп, в белоруссии вот ОАЦ есть, тоже этим занимаются. Мб знаете, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #49

38. Сообщение от Аноним (38), 14-Авг-25, 13:50	+1 +/–
>подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish Все какие-то "решения" серверов приложений. Настоящие серверы хттп не подвержены. >во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться Позорище, конечно. Ну ничего - в корпоративной разработке стыд испытывать некому.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

40. Сообщение от Аноним (42), 14-Авг-25, 14:03	–1 +/–
Очередной "мастер" аналогией, на таких "умников" найдётся порционная выдача соли в маленьких пакетиках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #46, #51

41. Сообщение от Буквально (?), 14-Авг-25, 14:06	+/–
"Мы хотим избавиться от задержек и сделаем протокол с обработкой запроса сразу по приходу первого же пакета". Что же могло пойти не так?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #55

42. Сообщение от Аноним (42), 14-Авг-25, 14:08	+/–
То есть заниматься чем угодно, кроме браузера - однозначно надо дропать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #50

43. Сообщение от Аноним (28), 14-Авг-25, 14:25    Скрыто ботом-модератором	+/–
w3techs после новостей показал увеличение доли http/3 - что как бы намекает .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

44. Сообщение от L10N (ok), 14-Авг-25, 14:27	+/–
Это сервисы, которые в Mozilla используются для локализации GUI продуктов и сервисов (включая сайты) и справочных статей соответственно. Кстати, доступ для всех свободен, любой может принять участие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

45. Сообщение от L10N (ok), 14-Авг-25, 14:30	+/–
Вы почему так плохо по умолчанию думаете о людях? Вообще говоря, мы говорим об опенсорсе. Опенсорсные продукты развиваются сообществами. Это если вы не знаете. У меня есть работа, достаточно хорошая работа. А это нечто вроде хобби. 20 лет использую продукты Mozilla и где-то 10 лет локализую справку и GUI. Это и языковая тренировка, и отслеживаю, что происходит в мире веба, да и просто прикольно. Свободные продукты создают свободные люди :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

46. Сообщение от Admino (ok), 14-Авг-25, 14:40	+/–
> порционная выдача соли в маленьких пакетиках. Роскомнадзор, залогинься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

47. Сообщение от Анонирм (?), 14-Авг-25, 14:42	+/–
А вы осилили реализацию этого протокола? Или просто так пишите
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #52

48. Сообщение от L10N (ok), 14-Авг-25, 14:43	+/–
Хм. Я с ним работал в Доктор Веб в 2005-2011. Давно не общались. Не знал, что он тут обзоры на Firefox в 2005 писал. Но, кстати, да, меня продуктами Mozilla заразили именно в этой компании, но не конкретно он.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

49. Сообщение от L10N (ok), 14-Авг-25, 14:45	+/–
Реализации могут сертифицировать. Например, есть ГОСТы по алгоритмам шифрования. Типа там "Кузнечик", "Магма". А когда кто-то их реализует в своих продуктах, то ФСБ потом может сертифицировать для применения в госсекторе. Но в общем случае стандартизуется протокол/алгоритм, а вот реализовывать можно по-разному.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

50. Сообщение от L10N (ok), 14-Авг-25, 14:48	+/–
Подобные комментарии странные. Если вы хотите, чтобы кто-то занимался только тем, что вам хочется, то что вы для этого сделали? Если хотите заниматься браузером, у вас есть такая возможность. Браузер открытый и все желающие могут принимать участие в разработке и развитии. И делают это :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

51. Сообщение от Аноним (-), 14-Авг-25, 14:50	+/–
> порционная выдача соли в маленьких пакетиках. О! Вы из Питера? (с) На этом сайте аналогии любят, особенно подобные котенку с дверцей))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

52. Сообщение от L10N (ok), 14-Авг-25, 14:51	–2 +/–
А что там принципиально такого, что невозможно осилить? Протокол как протокол. Конкретно этот не осиливал, а когда в системной аналитике работал по сетевой безопасности, читал различные RFC в оригинале без словаря. И понимал, что там написано, ибо в разрабатываемом файерволле их поддержка реализовывалась. Ну, да, современные протоколы могут быть более сложными, чем более ранние. Но принципиально-то что изменилось? Есть спецификация протокола, ей можно следовать. Не бином Ньютона.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #53

53. Сообщение от Анонирм (?), 14-Авг-25, 14:54	+1 +/–
> Конкретно этот не осиливал Вот когда осилите, тогда и приходите с критикой. А то получается что реальные разработчики были не в восторге, а вы их безосновательно критикуете, якобы не осилили. С себя начните.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #56

54. Сообщение от Аноним (54), 14-Авг-25, 14:58	+/–
Выходы за границы буфера тоже не в спецификации, а в реализации. Думай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #57

55. Сообщение от Аноним (54), 14-Авг-25, 14:59    Скрыто ботом-модератором	+/–
Куча приложений что рассчитывают на уязвимое поведение поломаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

56. Сообщение от L10N (ok), 14-Авг-25, 15:04	+/–
Ну, одни осиливают, другие не осиливают. Я думал, вы напишете, что конкретно этот протокол отличает от других. А вы пытаетесь оценивать меня. Конечно, HTTP/2 сложнее HTTP. Понятно, почему. Посмотрите, сколько лет прогресса между ними.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #59

57. Сообщение от L10N (ok), 14-Авг-25, 15:05	+/–
Да, в реализации. И что? От этого уязвимости не в реализации, а в том, что реализуется? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

58. Сообщение от Аноним (58), 14-Авг-25, 15:17	+/–
Что в очередной раз подтверждает: не надо любые сервера приложений голой ж... в интернет выставлять. И реализация HTTP/2 в них не нужна, для связи с реверс-прокси этот протокол бесполезен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

59. Сообщение от Анонирм (?), 14-Авг-25, 16:13	+/–
> А вы пытаетесь оценивать меня. А чего ожидали, начав ветку с наброса про "не осилили"? Грамотного технического обсуждения?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

60. Сообщение от Аноним (60), 14-Авг-25, 16:14	+/–
> несколько разрабов […] просто на мат переходили Ну это проблемы с воспитанием тех разрабов. А своё-то мнение у тебя есть? Или тебе его матюки очередного быдла заменяют?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема