В одной из крупнейших сетей доставки контента Cloudflare выявлена (https://blog.cloudflare.com/incident-report-on-memory-leak-c.../) ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфеденциальные данные, фигурирующие при обработке запросов других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя "cloudbleed (https://bugs.chromium.org/p/project-zero/issues/detail?id=1139)" по аналогии с уязвимостью "Heartbleed (https://www.opennet.ru/opennews/art.shtml?num=39518)".Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы, например, проведённые с 13 по 18 февраля измерения показали, что ежедневно отдавалось 100-200 тысяч страниц с частями неинициализированных блоков памяти, которые могли содержать приватные данные других сайтов.
Хуже всего, что утекающие в результате ошибки данные оседали в кэше поисковых систем и могли быть выловлены злоумышленниками через отправку типовых поисковых запросов (Google уже вычистил проблемные страницы из поискового индекса и кэша). По предварительной оценке в числе вероятных жертв проблемы насчитывается около 4.3 млн доменов, среди которых многие известные сайты (https://github.com/pirate/sites-using-cloudflare/blob/master...), в том числе отечественные, которые были клиентами Cloudflare.
Причиной утечки стала ошибка в реализации парсера разметки HTML, применяемого для разбора и замены содержимого страниц (например, замены ссылок с http:// на https://). Из-за ошибки к ответу на запрос присоединялся неинициализированный кусок памяти, который содержал данные, используемые в результате обработки других запросов на том же прокси-сервере. Например, читая news.ycombinator.com можно было получить в довесок блок с данными, который мог содержать пароль или сессионные cookie клиентов Uber или Digitalocean.URL: https://blog.cloudflare.com/incident-report-on-memory-leak-c.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46100
Ой, как неудобно получилость!
учитывая, что сейчас каждый 2ой сайт "натянут" на эту штуку.
может облакофилы и прочие любители новых "технологий" задумаются. хотя врядли.
и поделом кстати! со своими капчами они реально задрали: заходишь на какой-нибудь сайт-бложик почитать доку, а оно сразу капчу разгадать требует. такого издевательства я еще нигде не видел - везде капчу требуют либо при реге, лиюо при отправке данных.
Гугл давно открывал? При каждом открытии разгадать капчу требуют.
Хз, за прошлый год раза 2-3 просил, в этом ни разу. Гуглом пользуюсь частенько.
не при открытии, а при запросах на поиск. да и то только когда много пользователей за одним нат-роутером сидит. а сабж на некоторых сайтах просит ввести капчу всегда просто при заходе на страницу. хоть убейте, но я подобной хрени не понимаю.
Люди, сидящие за NAT должны страдать.
> Люди, сидящие за NAT должны страдать.Ага, а заодно и все кто пользуется тором или не любит разрешать запуск 100500 жабоскриптов, как и прочие "немолодежные зондоненавистники".
Попытался зайти на их [cloudflare] страничку - только чтобы увидеть саму капчу, требуется разрешить загрузку не только их скриптов, но и гугля. А эта гадость еще и подгружает картинки, мол "please also check the new images".
В общем, наслаждайтесь своими зондами сами, а мы обойдемся.ЗЫ: гуглопоиск без капчи
searx.me
Пользователей ТОР, конечно, жаль, но в данном случае ClouFlare можно рассматривать как средство защиты и от них тоже. Такой же расклад с теми, кто не любит яваскрипт. Владельцы сайтов как бы говорят нам: мы вас не хотим видеть среди своих посетителей. Стоит ли дальше ходить на такие сайты и как именно каждый волен решать самостоятельно. По возмущению берусь предположить, что вы, батенька, банальный копрофаг
> По возмущению берусь предположить, что вы, батенька, банальный копрофагДля хипстоты использование Тор и попытка отказа от ЖС уже возмущение и копрофагия?
> Люди, сидящие за NAT должны страдать.люди, сидящие за одним натом с горе-сеошниками. Или с затрояненными машинами.
(сижу за натом - капчу гугля здесь ни разу не видел, ага. И cloudflare'овскую тоже. вот когда сидел рядом с людьми, целенаправленно трахающими гугль - в силу специфики конторы, так было надо - да, периодически возникали проблемы с гуглем, пришлось отсадить их в отдельный сегмент.)с cloudflare сложно придумать, что надо делать (помимо дележа ната с троянами) чтобы эту капчу увидеть. Разьве что перестараться со всякой privacy protection (соответственно, перестать начисто быть отличимым от ддосера)
Не из под NAT, ip почти статический. У меня капча появляется не часто, но я заметил гугл начинает подозревать во мне бота когда я делаю много запросов по одному сайту сайту с небольшими изменениями в искомых словосочетаниях.
> со своими капчами они реально задралиА кому как ни нам тренировать нейросетку через капчи?
http://img0.joyreactor.cc/pics/post/twitter-%D0%B8...
проблема не в самой капче, а в необходимости включать жабаскрипт для этого
Как ни странно, гуглокапча на CloudFlare работает без JS! Но разрешать загрузку контента с google.com и gstatic.com приходится.
Было бы у них чем задумываться, не были бы они облакофилами.
А о чём задуматься предлагаете?
Скорость доставки, доступ к кэшированным страницам в случае падения сайта, приемлемая защита от ДДоС, крайне простая масштабируемость и прочие плюшки за приемлемые деньги. А кривой код у всех рано или поздно да найдётся или HeartBleed уже забыли?
Али вы просто покудахтать на «новые» технологии?
не задумуются, им по%уй, они приняли соглашение.
Кому не по%уй, cloudflare не юзают.
Cloudflare представила новую перспективную облачную технологию VaaS (vulnerability as a service).
Лол
> Cloudflare представила новую перспективную облачную технологию VaaSВ рамочку к стоп-кадру "а-а-б-ла-ка-а..." :)
> (т.е. вместо оператора "больше или равно", использовался оператор "равно")
Так вот ты какой, оптимизм...
Когда пройдёт достаточно времени с момента создания действительно хорошей альтернативы для той ниши, в которой сейчас находится C.
Спроси у растоманов
Откуда столько негатива? А, это же комментаторы опеннет! Вы просто не умеете готовить Cloudflare. Он помогал сайтам клиента пережить DDOS на бесплатном плане.
> Он помогалКогда помогал-то? В указанные сроки, когда "сливали" информацию, а пользователей элементарно "имели"?
новость не читай, комментарии оставляй.
о, теперь кажись я понял зачем они капчу просят.
правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев капчу просто закроют вкладку с таким сайтом.
> о, теперь кажись я понял зачем они капчу просят.
> правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
> капчу просто закроют вкладку с таким сайтом.Классическая диллема: часть чего-то или целое ничего. При DDoS 100% пользователей не попадёт на сайт, при схеме с капчей — ну скажем, 30%. Выбор очевиден всякому, кро диванных аналитиков с опеннет.
> Классическая диллема: часть чего-то или целое ничего. При DDoS 100% пользователей не
> попадёт на сайт, при схеме с капчей — ну скажем, 30%.
> Выбор очевиден всякому, кро диванных аналитиков с опеннет.Классический развод недиванных аналитЕков нужностью очередной хипстер-технологии, c одновременной дойкой:
https://opennet.ru/opennews/art.shtml?num=44108
> Кластеры на базе CitusDB применяются в таких компаниях как CloudFlare (аналитика в реальном времени 100 Тб БД с данными 4 млн сайтов)
> https://opennet.ru/opennews/art.shtml?num=45996
> В итоге, на серверах обновления Firefox выявлено 4% перехваченных запросов, в интернет-магазинах - 6.2%, а в CDN-сети Cloudflare - 10.9%А еще, хипстеры не в курсе, что при атаках чуть серьезнее однокласников запускающих словлорис, вам эдак ненастойчиво предложат перейти на бизнес или тыропрайзплан за 200+ зелененьких в месяц или же поискать себе другой cdn.
> хипстер-технологии
> хипстерыОгласите весь список хипстер-технологий
Хи́пстер, хипстеры (инди-киды) — появившийся в США в 1940-х годах термин, образованный от жаргонного «to be hip», что переводится приблизительно как «быть в теме»По такой логике все кто двигает айти - хипстеры и технологии вокруг -- хипстер-технологии
> По такой логике все кто двигает айти - хипстеры и технологии вокруг
> -- хипстер-технологииНе льсти себе, загружая твой оцифрованный винил в облака и попивая смузи, ты никак не продвигаешь айти.
> А еще, хипстеры не в курсе, что при атаках чуть серьезнее однокласников
> запускающих словлорис, вам эдак ненастойчиво предложат перейти на бизнес или
> тыропрайзплан за 200+ зелененьких в месяц или же поискать себе другой
> cdn.угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200, по их словам в переписке, это "Typically, users of our Business Plan limit their usage to less than 10 TB per month.". за "мой" трафик они попросили всего $6k/месяц. иначе да, 'ищите другой cdn'.
> угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200,охренеть - ты что там такое хостишь - cp ?
Или (если это ддос а не полезный траффик) - с кем это ты так неправильно поздоровался?
>> угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200,
> охренеть - ты что там такое хостишь - cp ?чуть-чуть десятков Тб файлов :)
Абу, это ты, что ли?
> Абу, это ты, что ли?да не, не может у него 2P быть
> о, теперь кажись я понял зачем они капчу просят.
> правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
> капчу просто закроют вкладку с таким сайтом.Капчу помнится можно и не просить (настраивается). В статистике видно с каких стран прёт трафик (Мексика, Китай и т.д.), берёшь и блокируешь эти страны в настройках, всё уже легче серверу.
> блокируешь эти страны в настройкахА что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём ЦОДе) зарезать эти страны в iptables сильно сложно? А капчу на фронтенде тоже сложно сделать?
> А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём
> ЦОДе) зарезать эти страны в iptables сильно сложно?несложно, но при входящем рейте под пол-гига/s (сла-а-а-абенький такой ddos, по нынешним меркам, и продолжать его могут вечно) ты при этом влетишь на нехилые бабки (в лучшем случае, а скорее всего - просто заблеклистят тебя без разговоров, у колло-провайдеров нет ни мощностей ни желания бороться за такого грошового клиента).
А с cloudflare - можно уместиться в _бесплатный_ тариф (поскольку их вообще не очень парит тот траффик, который НЕ донесли до клиента - коллеге счетец-то выкатили за _реальные_ петабайты, а не мусорные)Еще один хороший кейс- сайт (блок, понятно, ради одной хомстранички такое не делают) на амазоне и подобных *aas. Спрятался за антиддосером - получил более-менее _предсказуемый_ (и скорее всего - небольшой) прайс в месяц.
> правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
> капчу просто закроют вкладку с таким сайтом.большей части пользователей эту капчу никогда не удастся увидеть.
гуглевую капчу пользователи, если кто не в курсе, тоже никогда не видят - потому что никогда не удаляют куки, оставленные на память гмэйловым акаунтом.
Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.
> Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточноничего себе, "просто"...
> переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.в общем-то, я тоже так подумал бы (или с альтернативно одаренным пользователем, пусть проведет свое время с пользой, тренируя нейросети, если ему десятка раз одного и того же мало)
То есть, собственно, наши именно это и делали, но, йопаралон, не руками же! Мозоль на пальце лучше другим способом отращивать.
Когда занимаешься отладкой собственного скрипта/стиля, работающего на странице гугла, можно и больше раз рефреш клацнуть.
