Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

SMTP Smuggling - новая техника спуфинга почтовых сообщений, opennews (??), 22-Дек-23, (0) [смотреть все] какой-то булшит, гнать из профессии, Аноним (1), 00:04 , 22-Дек-23, (1) +5 // Согласен Законодательно применить n и закрыли тему А заголовок Content-Length , Аноним (16), 06:10 , 22-Дек-23, (16) // Не Content-Length, не разбирает SMTP сам по себе никаких заголовков Добавить DAT, Tron is Whistling (?), 09:23 , 22-Дек-23, (24) // ну и естественно без DATALEN больше одного сообщения за заход не пускать , Tron is Whistling (?), 09:25 , 22-Дек-23, (26) +1 Поддерживаю, раз на парсют письмы Кто-нить займити джуна какого-нить пщай оформи, Аноним (72), 03:24 , 23-Дек-23, (72) –1 1Даже шокирует то, что диды , пися всё на Сях, так ТУПО спроектировали протоко, Аноним (80), 15:38 , 23-Дек-23, (80) –3 Да, надо было на жабоскриптах писать, желательно всё с нпмочки стянув Но вот про, Tron is Whistling (?), 22:40 , 23-Дек-23, (83) +1 На самом деле этот протокол никто долго не проектировал - его слепили из того, ч, Tron is Whistling (?), 22:42 , 23-Дек-23, (84) +1 Давно есть chunking и BDAT, но опционально , anonymous (??), 15:08 , 22-Дек-23, (50) // Ух ты, пропустил это расширение Ну вот его и оставить, причём запретив пайплайни, Tron is Whistling (?), 15:23 , 22-Дек-23, (53) Тогда передача между почтовыми серврами и gw-ями будет тормозить, all_glory_to_the_hypnotoad (ok), 16:50 , 22-Дек-23, (59) +1 Это было актуально при модемах На текущих скоростях и делеях сотню соединений вм, Tron is Whistling (?), 23:32 , 22-Дек-23, (69) это я тебе как сидящий возле достаточно большого почтовика вещаю, сквозь которы, Tron is Whistling (?), 23:34 , 22-Дек-23, (70) покажи свой smtp-сервер, который сделан строго по стандарту u-блюдочному кстати, лютый жабби... (?), 08:30 , 22-Дек-23, (21) –6 // ой, кармадрючеры обиделись много тут писателей smtp серверов-то на расте, к, лютый жабби... (?), 12:45 , 22-Дек-23, (36) –2 // А зачем кому-то писать такую скучную вещь как smtp сервер , Аноним (40), 13:41 , 22-Дек-23, (40) +1 Ты первый , Аноним (35), 11:59 , 22-Дек-23, (35) Прекрасный стандарт Можно и так трактовать и эдак, удобненько А главное все про, Аноним (-), 00:10 , 22-Дек-23, (2) –1 // Нельзя Просто в отдельные почтовые сервера зачем то доложили совместимостей нико, Ivan_83 (ok), 00:27 , 22-Дек-23, (3) +7 // потому что почта должна ходить И принимать все, отправлять - соблюдая станда, нах. (?), 08:58 , 22-Дек-23, (23) // x 400Почитал, интересно, kusb (?), 10:56 , 22-Дек-23, (33) Если бы к CRLF CRLF не понагородили алиасов - ничего бы не случилось, лишь пара , Ivan_83 (ok), 14:37 , 22-Дек-23, (44) +1 smtp как стандарт почты - не случилось бы Именно потому что тогда ВСЕ типы были, нах. (?), 16:30 , 24-Дек-23, (86) В стандарте чётко оговорено, какой разделитель Это всё ещё отголоски войны carr, Аноним (5), 00:31 , 22-Дек-23, (5) +5 JSON-чики это тоже plain text Нужно делать как сделали с HTTP 2, т е делать но, all_glory_to_the_hypnotoad (ok), 01:15 , 22-Дек-23, (8) –2   // Бинарные протоколы очень плохо заходят в индустрию Есть с десяток основных бинар, Ivan_83 (ok), 04:09 , 22-Дек-23, (15) +1   // Регулярно подвергаюсь кенселенгу на опенет за то что ругаю бинарные протоколы, п, ОШИБКА Отсутствуют данные в поле Name (?), 11:51 , 22-Дек-23, (34) +1   Я не говорил что они плохие, я говорил что бинарные протоколы очень сложно заход, Ivan_83 (ok), 14:34 , 22-Дек-23, (42)   Для HTTP 1 очень даже нужно прогать на серверной части, и довольно долго и аккур, all_glory_to_the_hypnotoad (ok), 15:03 , 22-Дек-23, (48) +1   12299 питоновских structЯсно, уносите этого в 10-ю палату , scriptkiddis (?), 15:18 , 22-Дек-23, (51) +2   В мусоропровод с , нах. (?), 16:32 , 24-Дек-23, (87)   Я писал про клиента, но и серверу для простых вещей много ума не надо Не знаю ни, Ivan_83 (ok), 19:04 , 22-Дек-23, (65)   Важное преимущество этих протоколов состоит также в том, что их много Если рань, ОШИБКА Отсутствуют данные в поле Name (?), 16:50 , 22-Дек-23, (60) +2   То то программы в индустрии все не бинарники, процессоры прямо текст исполняют , Neon (??), 13:33 , 22-Дек-23, (39)   В индустрии прогают люди, людям проще прочитать текст и написать текст а не зани, Ivan_83 (ok), 14:35 , 22-Дек-23, (43)   Это было справедливо в какие-то 80-ые, когда ещё можно было попробовать глазами , all_glory_to_the_hypnotoad (ok), 14:53 , 22-Дек-23, (45)   Тем не менее бинарные протоколы всё ещё плохо заходят Тот же nginx имеет реализа, Ivan_83 (ok), 15:00 , 22-Дек-23, (46)   Можешь сколько угодно САМ СЕБЯ убеждать, что бинари - рулез, но практика и моя , Аноним (80), 15:31 , 23-Дек-23, (79)   Согласился бы, не будь таких же приколов с JSON из-за разницы в стандартах , Чукча (?), 03:49 , 22-Дек-23, (14) Это примерно половина почтовых серверов Из крупных похоже только exim оказался , Аноним (4), 00:31 , 22-Дек-23, (4) +1 // Exim топчик, Вася (??), 00:57 , 22-Дек-23, (6) +1 // Axa https www cvedetails com vulnerability-list vendor_id-10919 product_id-1, OpenEcho (?), 01:26 , 22-Дек-23, (9) +2 // Error 1009Access deniedчто за говно , Аноним (41), 13:45 , 22-Дек-23, (41) УМВР, наверное ты с неправильного интернета смотришь На попробуй другую ссылку n, Анонимусс (?), 15:01 , 22-Дек-23, (47) Нацональностью не вышел , Аноним (67), 21:44 , 22-Дек-23, (67) –1 паспортом Дискриминация по национальному признаку - позапрошлый век и уже немод, нах. (?), 16:36 , 24-Дек-23, (88) Ты еще скажи, что паспорта и разрешение на вьезд а не на выезд - это плохо , Аноним (-), 17:38 , 24-Дек-23, (92) exim топовое шерето, Аноним (13), 02:43 , 22-Дек-23, (13) +2 Астрологи объявляют неделю расщеплений сначала Terrapin, теперь ещё и Smuggling, BratishkaErik (ok), 01:14 , 22-Дек-23, (7) // И самое главное ведь как всегда - к праздничкам подарунчик пока админы бухают, OpenEcho (?), 01:27 , 22-Дек-23, (10) A Sec Consult козлики могли бы сперва оповестить вендоров, как это принято, н, OpenEcho (?), 01:36 , 22-Дек-23, (11) +1 // Они то предупредили Все претензии к автору перевода, который поленился об этом , kazh (?), 02:38 , 22-Дек-23, (12) +1 // Предупредили Прям перед праздниками, в то время когда любая нормальная секьюрити, OpenEcho (?), 07:05 , 22-Дек-23, (17) // Скрыто модератором, Аноним (-), 12:54 , 22-Дек-23, (37) +1 Скрыто модератором, OpenEcho (?), 17:58 , 22-Дек-23, (62) На самом деле они подождали, пока уважаемые люди тм пофиксили, проблемы осталь, Аноним (38), 13:18 , 22-Дек-23, (38) // Вот поэтому - и козлы, OpenEcho (?), 18:04 , 22-Дек-23, (63) Wietse Venema, очередной раз - респект https www postfix org smtp-smuggling h, OpenEcho (?), 07:19 , 22-Дек-23, (19) +1 // Это частичное решение, которое при должной настойчивости можно обойти А менно, , Имя (?), 15:48 , 22-Дек-23, (56) // Какой нахрен пакет в TCP Для нудных да, TCP разбивается на пакеты при отправке, Аноним (61), 17:39 , 22-Дек-23, (61) Лучше, - чем ничего, OpenEcho (?), 18:06 , 22-Дек-23, (64) кортинге нигрузяца, Аноним (66), 19:23 , 22-Дек-23, (66) Заглянул на почтовики, reject_unauth_pipelining добавлено с какого-то там борода, Tron is Whistling (?), 08:41 , 22-Дек-23, (22) +1 // Заглянул на почтовики, увидел что хоть reject_unauth_pipelining присутствует с к, San (??), 09:24 , 22-Дек-23, (25) // А смысл Пока достаточно предотвращения pipelining в процессе обработки данных П, Tron is Whistling (?), 09:27 , 22-Дек-23, (27) // Мне кажется, что эти директивы все-таки немного разного назначенияОдна проверяет, San (??), 09:56 , 22-Дек-23, (29) +1 В любом случае обе можно обойти, авторизовавшись и выровняв пайплайн по границе , Tron is Whistling (?), 10:05 , 22-Дек-23, (31) Первая запрещает слать DATA в пайплайн, вместе с другими командами, не отдельным, Tron is Whistling (?), 10:09 , 22-Дек-23, (32) Всегда использовали 0 и не было никаких проблем, зачем придумали эту абракадабр, ИмяХ (ok), 09:58 , 22-Дек-23, (30) +1 // Правда что ли 0 не текст, что является проблемой для текстового протокола, да , Аноним (1), 10:11 , 23-Дек-23, (74) в hello, world ах Там да, там и повезти могло А в индустрии решения хуже n, User (??), 09:36 , 25-Дек-23, (93) Испытываю странные ощущения - настоящим почтовиком занимался в 10-е годы, сейчас, abu (?), 15:05 , 22-Дек-23, (49) // Да всем Потому что разосланный этим способом спам и тебе придёт, в том числе , Tron is Whistling (?), 15:25 , 22-Дек-23, (54) // С такой точки зрения - действительно так и есть , abu (?), 03:17 , 23-Дек-23, (71) Уж сколько раз твердили миру in-band signalling - смертельный грех Но только в, Аноним (55), 15:33 , 22-Дек-23, (55) Не уловил в чём проблема Ну один сервак считает это одним письмом, второй счита, Аноним (57), 16:18 , 22-Дек-23, (57) +1 // Неа Основная проблема вот в чем второе письмо может быть отправлено от имени по, Аноним (-), 16:49 , 22-Дек-23, (58) –1 // Так а сервак почему не проверяет от кого второе письмо Он проверяет только перв, Аноним (57), 21:51 , 22-Дек-23, (68) +1 // Какому хакеру Куда подключиться Допустим ты подключаешься на сервер, проходишь , EuPhobos (ok), 10:18 , 23-Дек-23, (75) Это же smtp поднимите у себя сервер и отправляйте хоть по миллиону писем в секу, ыы (?), 13:05 , 23-Дек-23, (76) Ты либо троллишь, либо никогда не поднимал такой сервер , Аноним (82), 19:13 , 23-Дек-23, (82) +3 Ну так проблема у несоответствующих клиентов, зачем поддерживать несоответствие,, EuPhobos (ok), 10:07 , 23-Дек-23, (73) то есть проблема в том что в этом случае подделывается поле не только From , но, ыы (?), 13:19 , 23-Дек-23, (77) +1 // SPF, Аноним (85), 07:38 , 24-Дек-23, (85) п-дюли, как ни странно А в этом случае - все следы закончатся на ТВОЕМ сервере И, нах. (?), 16:39 , 24-Дек-23, (89) 1,2,4,7,11,19,22,30,49,55,57,73,77

Сообщения

[Сортировка по времени | RSS]

	8. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	–2 +/–
	Сообщение от all_glory_to_the_hypnotoad (ok), 22-Дек-23, 01:15
	JSON-чики это тоже plain text. Нужно делать как сделали с HTTP/2, т.е. делать нормальный бинарный протокол на фреймах
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	15. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от Ivan_83 (ok), 22-Дек-23, 04:09
	Бинарные протоколы очень плохо заходят в индустрию. Есть с десяток основных бинарных протоколов, но всё что бегает в TCP - в основном текстовое, потому что отлаживать проще.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 22-Дек-23, 11:51
	Регулярно подвергаюсь кенселенгу на опенет за то что ругаю бинарные протоколы, поэтому скажу так: ну и зря! Был не прав! Очень хорошие бинарные протоколы! Побольше бы таких протоколов в индустрию!
	Ответить | Правка | Наверх | Cообщить модератору

	42. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Ivan_83 (ok), 22-Дек-23, 14:34
	Я не говорил что они плохие, я говорил что бинарные протоколы очень сложно заходят. Взять хотя бы HTTP1 vs HTTP2+. Для HTTP1 особо и прогать не надо чтобы файл скачать: кое как сгенерить запрос, немного распарсить ответ и всё. Для HTTP2+ нужно нагородить кучу кода и ещё отладить его, полагаю потребуются дополнительные утилиты, которые возможно тоже нужно написать.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+1 +/–
	Сообщение от all_glory_to_the_hypnotoad (ok), 22-Дек-23, 15:03
	Для HTTP/1 очень даже нужно прогать на серверной части, и довольно долго и аккуратно. Тем более где это ты програешь HTTP/1 руками в наши дни? Поти во всех ЯП есть уже готовые либы, которые для разработчика отдают простой API. Утилиты для HTTP/1 тоже как-бы присутствуют, например curl и wget. Так будет и для HTTP/2 в базовом варианте. В конце концов на коленке создать и разобрать HTTP/2 запрос-ответ на питоновских struct в общем случе будет проще, чем полноценно разбирать HTTP/1 ответ.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+2 +/–
	Сообщение от scriptkiddis (?), 22-Дек-23, 15:18
	》питоновских struct Ясно, уносите этого в 10-ю палату.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от нах. (?), 24-Дек-23, 16:32
	> 》питоновских struct > Ясно, уносите этого в 10-ю палату. "В мусоропровод!" (с)
	Ответить | Правка | Наверх | Cообщить модератору

	65. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Ivan_83 (ok), 22-Дек-23, 19:04
	Я писал про клиента, но и серверу для простых вещей много ума не надо. Не знаю никаких питоновских структов. Я много разных протоколов реализовывал. Все текстовые протоколы всегда можно потыкать через простой терминал, я вот себе написал: https://netlab.dhis.org/wiki/software:win:net:tcp_term это уже где 5+ итерация. Я писалпростые клиенты на перле для DynDNS, где надо просто подключится и заслать фиксированный запрос и получить какой то примитивный ответ. Это всё легко делается на сокет+базовые функции. Но каждый раз когда я писал бинарный протокол это занимало намного больше времени чтобы накорябать хидер со всеми структурами, всеми константами и потом ещё накорябать сборку/разборку этого всего. Те я толкую именно про входной барьер от начала до первого рабочего прототипа, а не полноценную реализацию всех стандартов целиком. Да, с полной реализацией стандартов у бинарных протоколов легче тк вариативность ниже.
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

	60. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+2 +/–
	Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 22-Дек-23, 16:50
	Важное преимущество этих протоколов состоит также в том, что их много. Если раньше для того чтобы написать программу с кнопкой, которая скачивает файл по ссылке, нужно было поддерживать HTTP1/1.1, то сейчас нужно добавлять поддержку HTTP2 и HTTP3, а это почти в три раза лучше того что было и требует, например от мобильных/встроенных устройств, где это может быть критично, большего размера бинарника и оперативной памяти. Это в свою очередь будет стимулировать производителей создавать устройства, с более лучшими характеристиками, а пользователей - заменять всё старое на новое, тоже более лучшее. Я очень воодушевлённо рад наблюдаемому прогрессу в развитии протоколов, и надеюсь что в скором времени мы увидим хотя бы ещё один.
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

	39. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Neon (??), 22-Дек-23, 13:33
	То то программы в индустрии все не бинарники, процессоры прямо текст исполняют)))
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	43. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Ivan_83 (ok), 22-Дек-23, 14:35
	В индустрии прогают люди, людям проще прочитать текст и написать текст а не заниматся кодированием битов и слежением за порядком байт.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от all_glory_to_the_hypnotoad (ok), 22-Дек-23, 14:53
	Это было справедливо в какие-то 80-ые, когда ещё можно было попробовать глазами посмотреть трафик. Сейчас ситуация поменялась из-за увеличения объёма данных и отлаживать так просто глазами уже сложно, сейчас нужны автоматизированные аналитические инструменты. К тому же для всего есть pretty-printer-ы, например, см. wireshark. Выбор между текстовым форматом и бинарным примерно стоит в наличии времени на разработку вспомогательного инструмента и объёмов данных. Небольшие метаданные чаще удобнее представлять в текстовых форматах. Но есть проблемы... И эти проблемы заключаются в кажущейся простоте текстовых форматов. А на самом деле они значительно сложнее бинарных, например, из-за эскейпинга (см. проблему из новости, что такое SQL injection и т.д.). Делать корректные парсеры для текста сложно и в особенности если речь про древний хлам из 80-ых, который к настоящему оброс кучей отклонений от стандартов. Бинарные протоколы заходят в индустрию отлично. Почти всё своё внутри корпораций работает на бинарных протоколах, тот же protobuf. А текст остаётся в основном для совместимости с внешним миром. Теперь наконец начали пробовать закапывать HTTP/1.x, в сети в основном он и бегает если убрать торрент и ~RTP. Остались ещё местами последователи BDSM церкви свидетелей вездесущего XML, еретики в виде секты читабельного JSON-а и новое эзотерическое течение YAMLлогов. Но это всё постепенно уходит в категорию маргинальщины и рукозадства.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	46. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Ivan_83 (ok), 22-Дек-23, 15:00
	Тем не менее бинарные протоколы всё ещё плохо заходят. Тот же nginx имеет реализацию proxy protocol 1 - который текстовый и не имеет версию 2 которая бинарная. (на самом деле обе реализованы там так себе). Эскейпинг нужен не везде. Привидите примеры костылей :)
	Ответить | Правка | Наверх | Cообщить модератору

	79. "SMTP Smuggling - новая техника спуфинга почтовых сообщений"	+/–
	Сообщение от Аноним (80), 23-Дек-23, 15:31
	Можешь сколько угодно САМ СЕБЯ убеждать, что бинари - рулез, но практика (и моя в т.ч.) показывает, что текстовый протокол - наше всё. Конечно, ты как бравый русский программист готов "переписать всё за неделю", но вот нахрен ты не нужен со своими байтами. Потому что далеко не всегда и везде можно влезать и "парсить бинарь". А текст - он даже в отладчике прекрасно видится. Более того - всякие проблемы мисформаттинга в ТЕКСТЕ ловятся на раз. А в бинаре - ну да, попрыгай по байтам, угадай, кто из переменных напортачил и вместо byte записал int, от чего ВСЯ бинарная шняга съехала по смещениям. Короче, ты просто студент ещё (по кр. мере по уровню скилов) и большой работы по протоколам не делал, потому тебе всё легко. Я сам писал кучу серверов - для IRC, SMTP/POP3, HTTP... И когда ты видишь текстовую вещь, да ещё которую можно легко парсить регэкспами, наступает нирвана. А ипасса с байтиками и угадывать значения - ну если нравится просирать время - ради бога!
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема