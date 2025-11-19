|
Как защищать свои сайты и доменьчики от ботов без клауды и подобных?
Из-за anubis много раз не мог попасть на lore.kernel.org, в Firefox зависал или не догружался скрипт. Только недавно починили.
> в Firefox зависал или не догружался скрипт
Типичная проблема недобраузеров. Радуйтесь что вообще исправили.
Если использовать нормальных хром, то такого не бывает практически никогда.
4 месяца cloudflare не может починить прохождение капчи в любых версиях Firefox для Linux > 141 версии. Бесконечно обновляет свою капчу
Для прохождения капчи cloudflare надо переехать в США? Зачем такой костыль нужен и кому.
Как вариант. Достаточно пропустить трафик через посредника. Это такая фишка у cloudflare.
Ага, а лично я намного чаще не мог подключиться к сайтам как раз из-за Cloudflare, чем из-за Anubis. Из под Tor'а вообще вкуснотища, бесконечные капчи.
Главное - главное что СВОБОДНО не мог попасть. Гордо и независимо!
> Как минимум самохостинг go-away или anubis
Самохостинг это хорошо, однако они спасут только от L7 атак, когда корявый (других не бывает) PHP код по 20 SQL запросов шлёт в ответ на запрос от юзера
И то не факт, в случае если сайт изначально полумёртвый под нагрузкой из 10 юзеров, однако тут даже cloudflare мало поможет
А от L4, от которого защита тебе потребуется сильнее, самохостинг тебя не спасёт, и надо уже иметь сеть которая способна удар принять и трафик отфильтровать до твоей машины
Однако с этим способны справляться уже все облака, и можно спрятать дедики за реверс-прокси на облаках потенциально того же самого провайдера
> Однако с этим способны справляться уже все облака, и можно спрятать дедики за реверс-прокси на облаках потенциально того же самого провайдера
и лежать, когда что-то лежит у них, что бывает чаще
> дедики за реверс-прокси на облаках потенциально того же самого провайдера
И после первого же дудоса провайдер попросит тебя на выход
>> дедики за реверс-прокси на облаках потенциально того же самого провайдера
> И после первого же дудоса провайдер попросит тебя на выход
Как раз таки у облаков провайдер почти всегда берёт на себя решение проблем с атаками, в отличии от дедиков
В худшем случае счёт тебе побольше выставит
> у любого серьезного DC есть решения на случай DDoS а не только
> у облаков
Решения есть, вопрос как они используются
У многих провайдеров политика такая, что в случае атаки виноват ты, и значит что при атаке твой сервер могут просто отключить
Такая защита не бесплатная
Грамотно настроенный WAF и рейт лимиты помогают, но довольно геморно это все отлаживать. Из коробочных решений BunkerWeb для себя нашёл, почти что CF у себя дома. Но в будущем хотелось бы этот комбайн на что-то модульное сменить.
> Как защищать свои сайты и доменьчики от ботов без клауды и подобных?
смотря насколько ты кому-то наступил на хвост.
от потока просто мусора на 10-30 мегабит с безумных утюгов и холодильников - никак ты не защитишься. Еще и твой провайдер запросто может найти ннну очень уважительную причину разорвать с тобой договор (ему проще потерять деньги чем всех своих клиентов вообще - потому что его внешний канал полностью лежит из-за тебя).
(впрочем, клаудшмразь тоже за такое выкатит тебе недетский ценник. Ну, у какого-нибудь бредкома или ситибанка бабла хватит.)
От просто случайных набигателей из инторнетов - просто запасом мощности ну и наличием хоть какого-то представления о том как выглядит твой нормальный траффик и откуда он в основном берется.
>> Как защищать свои сайты и доменьчики от ботов без клауды и подобных?
> смотря насколько ты кому-то наступил на хвост.
> от потока просто мусора на 10-30 мегабит с безумных утюгов и холодильников - никак ты не защитишься.
10-30 мбит -- это вообще не проблема, этим мелким паразитным траффиком можно в целом пренебречь. Главное, чего нужно добиваться при защите:
1) недопущение перегрузки кластера обработкой паразитных запросов
2) недопущение повышенных расходов за отдаваемый по паразитным запросам траффик (там могут быть циферки огого)
Общий паттерн защиты такой:
1) На балансере -- резать по ip: в ингрессах выделить по правилу на каждый локейшен, и каждому задать rate limit. Можно разбить весь траффик на несколько ингрессов, сгруппировав таким образом локейшены.
2) Раз в месяц нужно анализировать логи балансера и проверять реальную утилизацию локейшенов для пересмотра валидности rate limit-ов. Не забыть сконфигурировать балансер отдавать http-429 для отлупов при превышении лимита, кстати. По умолчанию у того же nginx-а отдаётся http-503. Обязательно поставить алёрты на скачки http-429 в ответах.
3) Далее, если ваше приложение поддерживает авторизацию, то для всего кроме самой авторизации -- ставить rate limit по userid. Реализовывать на уровне приложения.
Реализуете это вкупе с #155, и в целом Cloudflare вам не нужен. Можете конечно дополнительно какой-нибудь anti-ddos или WAF бахнуть. Если не бахнули -- не страшно: на первых парах, если у вас реализовано всё по спискам выше, вы с высокими шансами сможете защититься и подручными средствами, побанив зловредов вручную. Да, будет больно, но не смертельно -- скорее всего даже без даунтайма пройдёт.
> 10-30 мбит -- это вообще не проблема
сделают 30 гигабит - снова будет не проблема? Умные утюги разгоняются и до терабитов.
Причем васяну-то это вообще ничего не стоит. В отличие от тебя, где в договоре мелким шрифтиком что-то там на тему не превышения входящего...
> На балансере -- резать по ip
клиенты ненужны!
> Раз в месяц нужно анализировать логи балансера
уже смешно
> Далее, если ваше приложение поддерживает авторизацию, то для всего кроме самой
> авторизации -- ставить rate limit по userid
там где ты можешь проверить userid - уже поздно ставить рейтлимиты. Первой лопается проверялка.
> Реализуете это вкупе с #155, и в целом Cloudflare вам не нужен
он в целом вообще был ненужен если его можно заменить вот этим.
> Можете конечно дополнительно какой-нибудь anti-ddos или WAF бахнуть.
половину пользователей уже перебанил по ойпи - вторую похоронит васянский антиддыдос.
Ну правильно, чего ждать от специалиста забанившего ответы от юзера которому он отвечает...
У них все так работает.
А на деле со стороны дерьмохостера которому с тобой "повезло" это выглядит так - "ой", и входной канал лежит. Начинаешь (с большим трудом ибо канал - лежит) разбираться за что ж и откуда - обычно с помощью апстрима, иногда не ближайшего - находишь клиента. Блэклистишь у апстрима его айпишник. Если повезло и его днс у тебя - блокируешь ему доступ и меняешь все адреса на 127.0.0.1, апстрим будет благодарен.
Ждешь пока позвонит. Узнаешь что вчера в два ночи он где-то в чятике послал подальше какого-то онанима (и грех бы такого пры...ра не послать-то). Говоришь что за деньгами взад может подходить в кассу в рабочее время.
>> 10-30 мбит -- это вообще не проблема
> сделают 30 гигабит - снова будет не проблема?
А тебя и Cloudflare от такого не защитит, потому что не может быть 100%-ых правил как отличить паразитный траффик с тысяч утюгов от легитимного траффика. Это один фиг придётся резать на уровне региональных балансеров с учётом специфики приложения.
>> На балансере -- резать по ip
> клиенты ненужны!
А без резки по ip им даже ddos не нужен, чтобы тебя положить. Выделят отдельный эндпоинт и с одного хоста его успешно закидают.
>> Раз в месяц нужно анализировать логи балансера
> уже смешно
У вариантов получше -- высокая стоимость.
>> Далее, если ваше приложение поддерживает авторизацию, то для всего кроме самой
>> авторизации -- ставить rate limit по userid
> там где ты можешь проверить userid - уже поздно ставить рейтлимиты. Первой
> лопается проверялка.
При ddos-е, который работает ради дауна твоего сервиса -- да, поздно. Это для ботов, создающих большой паразитный траффик, выкачивая у тебя всякое. Позволяет избежать повышенных расходов.
> А на деле
А на деле, дорогой пох, я занимаюсь проектированием таких систем далеко не первый год, и мои клиенты пережили далеко не одну атаку.
> Как защищать свои сайты и доменьчики от ботов без клауды и подобных?
Да как бы Cloudflare устроен не особо сложно.
Просто заказываешь в ряде регионов по паре машинок для приземления регионального траффика и переотправки на реальный api-сервер. На машинках настраиваешь haproxy для TCP-forward. Перед haproxy не обязательно, но желательно -- внешний балансер от провайдера. Терминировать там SSL не надо. Региональные DNS прописываешь смотреть каждому на балансер. Вот тебе и Cloudflare.
Опционально: добавляешь WAF и antiddos. Из плюсов -- ты будешь понимать, как именно они работают, и контролировать ложно-положительные срабатывания.
да счас, кто тебя досить будет по dns? тебя будут напрямую долбить по айпишнику, либо одного регионального узла, либо конкретно API endpoint, если знают его адрес
> да счас, кто тебя досить будет по dns?
а почему нет? Умные утюги отлично умеют в ресолвинг.
> по айпишнику, либо одного регионального узла, либо конкретно API endpoint, если
тогда эта поделка сдохнет и может даже выпадет из round robin, повезло. Только вот вряд ли кто будет такой фигней маяться. Апи эндпоинт тоже будет по имени, чего возиться-то лишнего.
точно так же как и с ним: перед сервером ставится балансировщик нагрузки/кеширующий прокси которые скрывают настоящий айпи серверрв.
если провайдер позволяет -- к одному айпи можно подключить несколько балансировщиков. если не позволяет -- можно в днс прописать несколько айпи.
> точно так же как и с ним: перед сервером ставится балансировщик нагрузки/кеширующий
> прокси которые скрывают настоящий айпи серверрв.
и что такого волшебного в твоем настоящем ойпи?
Просто первым ляжет твой наколеночный балансировщик.
Покупайте защщиты от клаудшмары, с вашими талантами самое оно.
А было бы на си - данные спокойно записались бы за пределами выделенного буфера, переписали несколько случайных структур, и все были бы счастливы
А мы не знаем что было бы, если было бы на Си. Но знаем что уже было, когда было (и до сих пор есть, а значит будет еще) на расте
>А мы не знаем что было бы, если было бы на Си
А смешно и тонко ты над сишниками подшутил с их undefined behavior.
Вот CVE про выходы за пределы бывают, про использование освобождённой бывают, а вот про undefined behavior никогда не видел.
> Вот CVE про выходы за пределы бывают, про использование освобождённой бывают, а вот про undefined behavior никогда не видел.
И первое, и второе - UB.
Издалека видно, что вы - сишник.
> переписали несколько случайных структур
...запороли бы данные, получили бы неконсистентное состояние, выполнили бы случайный код...
А может все было бы хорошо. Но для того чтобы это узнать, нужно чтобы код был написан на сишке. Вот когда на си перепишут, тогда и поговорим.
на сервисе fl (который до раст) наблюдалась деградация работоспособности, так что какое то время сервису все ещё было бы плохо, но было бы не так заметно, я полагаю
А было бы на Си, проверили бы три раза на тестовом стенде, прежде чем пихать с пылу с жару на боевой сервер. А тут свято уверовали в безопасную безопасность и безопасно без тестирования на несколько часов опRustоволосились.
> А было бы на Си, проверили бы три раза на тестовом стенде
... и все равно бы вышли за пределы буфера)))
Хотя глядя как в ядро мерджат сишных код в обход всех ревью, что-то не верится в "проверили бы три раза".
+1. Чем больше ржа-апологеты кричат о безопасности, тем больше народ думает, что вообще думать не надо - просто жонглируй указателями.
Если помнить, что на Си написаны миллиарды строк кода, то такие случаи находятся в районе статистической погрешности.
Ну да, а кто ж ещё?! Не Раст ли бегает и на каждом углу кричит "пешыте на расте у нас нет проблем с памятью"? А зачем нам вообще нужен раст?!! Ну вот так чисто по-программерски ответь. В С++ всё есть, от безопасной памяти до крутого ООП и ТЫСЯЧ полезных библиотек. Накой ляд тут ржа??
Нет там безопасной памяти В какой большой плюсовый проект не ткни - везде дыры ... большой текст свёрнут, показать
Я понимаю, что ирония. Но словесный понос удержать не могу.
unwrap() -- это буквально "в случае любой проблемы совершать роскомнадзор". Полезно для отладки и прототипирования, оч вредно в проде, особенно проде с триллионами запросов в день.
Как водится, всем хочется расстрелять гонца ☺, который принёс стектрейс. А ошибка была в SQL.
|
sql сильно изменился за лето…
ошибки было две и в sql не самая интересная
Да ничего страшного с растом. Там выше говорят, что на самом деле это сишники опять облажались потому, что если бы это было бы на С, то был бы вообще кошмар. Так-что всё хорошо.
Кода на си становится все меньше...
Новости про ошибки в расте появляются все чаще...
Случайность? Не думаю.
> Новости про ошибки в расте появляются все чаще... кода на расте не становится больше
Это получается, плотность ошибок на расте увеличилась? Что не так с программистами на расте?
> Ошибка была вызвана использованием в коде на языке Rust метода unwrap() с типом Result.
А ведь даже тут растофилы хвасталась, что вон в Клаудфларе кучу кода пишут на расте, а они 10000% интернета фильтруют
Ну вот и отфильтровали. Ну не 10000 но процентов 50 таки опа, чтотапаламалася и отфильтровалася от посетителей. И пол-дня не были в состоянии раздуплиться и починить (потому что поназаменяли админов девляпсами)
Зато на хрусте!
Да, лучше. Белкам истеричкам которые гоняют через клаудшмару пароли и данные кредиток ничего уже не поможет, а от страшной и ужасной утечки анонимных айдишек васян-сайта никто не умрет.
(отдельно прикольно что когда использовали ниправильныйниправильный нинатом йезыке nginx - ничего не утекало, в отличие от пы0мерзкой подделки которую принесли альтернативно-одаренные)
А вот васянов копеешный бизнес - умрет, пролежав пол-дня. Если ему не повезло с конкурентами и те нормальных админов наняли - так что не легли вместе с клаудшмарой и перехватили все васяновы заказы.
То, что один дypaк выбрал ржу, ещё ничего не говорит о применимости языка. "Начальник-дe6uл" - это уже практически устойчивая связка слов, а теперь прикиньте - он принимает решение "Завтра все пишем на рже!". !!!!!
> То, что один дypaк выбрал ржу, ещё ничего не говорит о применимости
> языка. "Начальник-дe6uл" - это уже практически устойчивая связка слов, а теперь
> прикиньте - он принимает решение "Завтра все пишем на рже!". !!!!!
а завтра пишем на аде - не принимает.
Поэтому, увы, говорит. Видишь раст - вероятнее всего начальники - это вот самое. А с ada еще могут быть варианты.
Отлично!
Благодаря unwrap() получился DoS, а не выполнение стороннего кода, как в соседней новости, и взлом серваков! Всего 3 часа отсутствия инета, ошибка найдена и исправлена.
Так держать клаудфаря! Главное - безопасноть :)
> Всего 3 часа отсутствия инета, ошибка найдена и исправлена.
> Так держать клаудфаря! Главное - безопасноть :)
Если нет сети, то нельзя выполнить удаленную уязвимость (smartblackguy.jpg)
Если нет сети, то нельзя получить данные, нельзя продолжить телеоперацию (да, уже есть удалённые хирурги), авиадиспетчеры останутся без компов...
"всего 3 часа"?!?! Да у нас начальник вые6 бы тебя уже через 10 минут неисправленной ошибки!!! И это чисто корпоративный сервачок, но котором, подумаешь - держится весь бизнес! А тут пол-тырнета завязано на этих тупых облаках и на те - на 3 часа ты просто в ауте и миллионные убытки!
А ещё кричали "бегите к нам в облака, у нас 200% устойчивость, кластеры, виртуальные машины!". А чего стоит виртуальная машина, если ею управляет 06е3ьяна?!?!
А бизнес клаушдшмрази держится не на сервачках, а на FUD пропаганде.
Дай угадаю - НОЛЬ клиентов додумались с них свалить после этого инцидента.
Хотя нет ровно никаких признаков что следующего точно такого же не будет.
не отлично 3 часа слишком долго искали потому что unwrap никуда не логируется и в панике никакого сообщения. было бы логирование поймали бы раньше. было бы запрет на паники было бы вообще замечательно
> 3 часа слишком долго искали потому что
смотрели не туда.
"we initially wrongly suspected the symptoms we were seeing were caused by a hyper-scale DDoS attack"
Да и 3 часа это на всё. Ты не можешь вот так просто откатить что-то, потому что на это нужно время.
В 11:05 они залили бажный конфиг. В 13:37 они уже ролбечили его.
> unwrap никуда не логируется и в панике никакого сообщения
Вообще-то логируется. Они даже в бложике строку скинули:
"thread fl2_worker_thread panicked: called Result::unwrap() on an Err value"
> Ты не можешь вот так просто откатить что-то, потому что на это нужно время.
Потому что для этого нужна сеть, а у тебя ИИ не работает из-за краха сети.
Типичный раст, постоянные падения это его коронная фишка. Низкая культура разработки, что поделать.
> постоянные падения это его коронная фишка
Вообще-то падения стали мемом плазмы, которая совсем не на расте.
"Низкая культура разработки, что поделать" (с)
У меня до сих пор падает каждый день, файловые дескрипторы кончаются. Исправлять, конечно, не спешат, как explicit sync добавили -- это сплошной треш каждый день, и если с иксами просто перезапускалось, то с вейландом падает и всё. Но это у меня systemd нет, перезапустить, видимо. Видишь, тут ничего не поделать. А вот с падениями ripgrep ты вполне можешь что-то сделать.
Там намеренно все плазмоиды, в т.ч. и сторонние, исполняют в одном адресном пространстве. Вот отсюда и возможны падения.
> постоянные падения это его коронная фишка
Можно хоть на Си такое-же написать. Понятно-же, что unwrap() - это, если проводить аналогии, дальнейшее развитие идеи assert-а. Буквами по белому написано, что НЕ надо его использовать в production-коде. Но, как всегда, имеем вот это вот всё и виноват, конечно-же, Rust.
> Но, как всегда, имеем вот это вот всё и виноват, конечно-же, Rust.
какие-то неправильные программисты на расте
> какие-то неправильные программисты на расте
У них обычно виноват кто угодно, кроме них самих, ведь им дали такой инструмент.
> дальнейшее развитие идеи assert-а.
Если это было бы так, то код бы работал в проде, т.к. ассерт для дебага.
> Буквами по белому написано, что НЕ надо его использовать в production-коде. Но, как всегда, имеем вот это вот всё и виноват, конечно-же, Rust.
Если так рассуждать, то буквами по белому написаны ub, но как всегда имеем вот это вот всё и виноват, конечно-же, Си.
> Буквами по белому написано, что НЕ надо его использовать в production-коде.
А какие средства язычок предлагает, чтобы unwrap (и ещё сотни паникующих методов) не использовали в production-коде? Может, хотя бы, warning при компиляции выводит?
#![deny(
clippy::unwrap_used,
clippy::expect_used,
clippy::panic
)]
Разумеется раст и есть виноват. Из названия unwrap не очевидно его поведение. Это и есть основная проблема.
В том же jQuery, в C# Task Unwrap имеет поведение, более или менее отражающее название, а именно разворачивает, действие обратное оборачиванию.
Тут же имеем не пойми что. Да, можно в документации написать. Но люди не помнят наизусть документацию. В книжках по C тоже всё описано, но всегда есть неожиданное поведение или недокументированное поведение.
Я так думаю, что Ржу именно для этого изобрели - какой-то кагтавый начальничек решил "сэкономить" и вместо проф.программистов на С++ решил нанять uндycятины "десяток за рупь". А чтобы качество не страдало, решил обложить их борров-чекерами. :))) (можно подумать, все ошибки программы только и состоят, что из указателей!)
Примерно так всё и было. Но проф программисты тоже оценили рюшечки раста, только вот писать и отлаживать код на нём сложнее, чем код плюсов. Ну, минимизирован целый 1 класс ошибок зато, управленцы в восторге.
> Низкая культура разработки, что поделать.
ну так на нём пишут только веб-синьоры. я что-то плохо себе представляю настоящего программиста, который променяет ЯП на маркетинговый мусор
А настоящие Си-эксперты сразу допускают Cloudbleed, чего мелочиться то.
Об этом почему-то замалчивают. Ещё где-то ошибки есть, ну не руками же в терминале долбили sql команды сразу в прод, нет ведь?
> Сбой произошёл после изменения в структуре БД, размещённой в хранилище
> ClickHouse, после которого файл с параметрами для системы
> противодействия ботам в два раза увеличился в размере.
Мда... Они не тестируют миграцию БД перед выкаткой на прод?
Изменения в структуре БД это не два байта отослать, тут нужно быть аккуратным.
> тут нужно быть аккуратным.
Ой, хоспади... Там раст везде он всё проверит сам и по рукам надаёт если делаешь что-то не так, не надо больше думать... да не о чем не надо больше думать. Да, даже во время миграции БД
Это уже давно не Яндекс. И от Яндекса они сами открещиваются.
Просто зайди в репу. Половина комитов на сегодня упоминают наименование процессора Эльбрус
> "Оно должно само"... Да?
Вообще-то да. И оно это сделало.
Память не испортили, за пределы буфера не вышли, сторонний код не исполнили.
Софтину в некорректном стейте грохнули. Данные не пострадали.
Все как и ожидалось.
> Все как и ожидалось.
могу поспорить, что клиентами не ожидалось 3 часа простоя из-за использования unwrap, который "не рекомендован для использования в рабочих проектах". Нужен анврап-чекер, который будет заставлять переписывать без анврапов
и при чем тут линтер? боров-чекер неотключаемая фича компилятора, если бы его можно было отключать, то он был бы отключен в каждом первом проекте. Анврап-чекер тоже должен стать неотключаемым
> for a lot of quick-and-dirty code, unwrap is a good choice, which is why this lint is Allow by default.
они даже по умолчанию считают, что ты пишешь "a lot of quick-and-dirty code", а не что-то рабочее
Ожидалось.... 3 часа простоя?!?! Походу, ты мало относишься к ИТ.
Если сайт упал, мгновенно должны поднять по тревоге всех сисадминов, откатиться на рабочую версию и начинать расследование. А в клаудфларе, походу, uндycятuна за доширак работает - пока проснулись, про-д-рис-тались, едва нашли проблему, а потом, спустя сутки, нашли и "виновника торжества" - unwrap. В ПРОДАКШЕН КОДЕ. :D Всё, что вы хотели знать о квалификации cloudflare team.
откатить продакшн код на такой системе как у cf может наоборот навредить (нестабильные состояния), поэтому они сначала расследуют, потом что то делают
> поэтому они сначала расследуют, потом что то делают
Для чела айтишечка ограничена серваком и злым начальником, не требуй от него многого)))
> Если сайт упал, мгновенно должны поднять по тревоге всех сисадминов, откатиться на
нет там админов. там девляпсы и констант дизинтегрейшн
> рабочую версию и начинать расследование. А в клаудфларе, походу, uндycятuна за
а невозможно откатить базу на "рабочую версию" (по этой же причине невозможно и откатить код - он уже под новую базу заточен)
А быстро найти ошибку тоже невозможно - йезычок же ж безопастный. И в логах миллион бесполезного мусора (как в нынешней разработке принято), среди которого вот за три часа зоркий глаз наконец-то разглядел "unwrap".
> спустя сутки, нашли и "виновника торжества" - unwrap. В ПРОДАКШЕН КОДЕ.
а никакого другого у клаудшмары и нет. Ну то есть стенд наверняка есть, но там базка была маленькая и на ней все помещалось.
> :D Всё, что вы хотели знать о квалификации cloudflare team.
это не про квалификацию, это про организацию работы. Оно сейчас так примерно везде кроме может быть некоторых крупных банков и страховых. Но и это неточно.
> Память не испортили, за пределы буфера не вышли, сторонний код не исполнили.
и не будь клаудшмразь монополистом с договором вида "мы вам ничего и не обещали" - кто-то сейчас суматошно искал бы новую работу.
Выясняется что клиенты, кто бы мог подумать и было ли чем, хотели от них вовсе не "за пределы буфера не вышли".
ну что ты, что ты - юристам клаудшмара нормально платит, это тебе не одноразовые девляпсы.
Там сплошной as is и best effort.
в лучшем случае в зависимости от плана какое-то время будешь получать сервис бесплатно, как это соотносится с твоими потерями (если были) — это не их проблемы
Более трёх часов простояли.
> Все как и ожидалось.
Всё идёт по плану.
Это самая крутая новость, что я читал на опеннете!! Паблишеру громадный лайк! Потому что:
1. Сразу понятна суть инцидента
2. (самое главное) приведён пример бажного кода - по его уровню можно судить о том, какого уровня uндycятuна была нанята на такую важную инфраструктуру. Да и в целом видно, насколько долго и непрофессионально чинили элементарный баг.
3. Наглядно показана несуразность Ржи и её нелепый рекламный слоган "зато безопасная память!". Как видно, программы состоят ДАЛЕКО не только из памяти! Вся программа зависит от КВАЛИФИКАЦИИ программиста и практически невозможно придумать "инструмент для дураков" (Rust), потому что только дурак и захочет им пользоваться.
> 2. (самое главное) приведён пример бажного кода - по его уровню можно
> судить о том, какого уровня uндycятuна была нанята на такую важную
чо ты к claude докопался? Или что у них там - копилот? Они даже не индусские.
покажи язык программирования, в котором физически нельзя избежать проверки результата работы функции.
>Обычно unwrap() применяется в процессе отладки или при написании тестового кода и не рекомендован для использования в рабочих проектах.
Помогите разобраться, это Rust не позволяет писать нормальный код и из-за чего приходится прибегать к отладочным методам или это т.н. дилетанты работают в Cloudflare?
Это и есть самое нормальное поведение программы - грохнуться при любом ненормальном поведении себя.
Это означает, что Rust, конечно, кое от чего страхует, но задачу "думать головой при написании кода" не отменяет.
Программист взял откуда-то/вспомнил типовой пример, не прочитал/не вспомнил как работает unwrap() и получил, что при невыполненном условии, мы получаем не отработку ошибки, а у нас стоит unwrap(), который говорит "всё, звиздец, здесь сделать ничего нельзя, валим приложение в panic-у".
Программист явно недоработал. Функция возвращает Result. Вызов unwrap() внутри такой функции даже на беглый взгляд — максимально некрасиво; на ревью такое не должно было пройти. И заметим, что в отличие от ошибок, вызывающих UB в Си (вроде целочисленного переполнения), такие ошибки выявляются простым грепом.
> вызывающих UB в Си (вроде целочисленного переполнения)
да ктож вас, детей, так напугал этим UB? маркетологи раста?
переполнение это фича, которая вполне используется для переxода через ноль в миллионе вещей, в те же счётчикаx пакетов
если тебе не нужно переполнение, ты просто берёшь и проверяешь, чтобы его не было, и такие случаи встречаются довольно редко и сами просятся на такие проверки
> если тебе не нужно переполнение, ты просто берёшь и проверяешь, чтобы его
ну вот еще! s/int/unsigned int/g
ВСЕГДА ж так делаем!
(причем в процессоре вполне может быть автоматика обработки переполнений - но вот покажи-ка мне такой нескучный йезычок, который умеет ей пользоваться хоть на какой архитектуре?)
В других языках часто оставляют ассерты в релизном коде, потому что отладочный не всегда можно запустить на реальных данных. И это лежит на ответственности программиста. Rust заставляет делать такое, если уж кто-то не хочет обработать ошибку нормально. Метод unwrap() — аналог ассерта. То есть данный инцидент продемонстрировал преимущество Rust, чего наши лучшие эксперты Опеннета даже не попытались понять.
> это Rust не позволяет писать нормальный код ... или это т.н. дилетанты работают в Cloudflare?
В данном случае и то, и другое. Что вы ожидали от языка, который разрабатывается 20 лет, не имеет стандартов и до сих пор unstable?
Это криворукие программисты:
1. Не понимают, к чему приводит паника в их системе
2. Не понимают, что прод надо делать надёжным, а не крешиться по мелочи
Первое - непрофессионализм. Второе - отсутствие должного образования. Оба пункта лечатся прочтением Release It! автора Michael Nygard - никто лучше него пока про эту тему не написал.
> Обычно unwrap() применяется в процессе отладки или при написании тестового кода и не рекомендован для использования в рабочих проектах.
Значит это была лишь отладка. Всё логично.
Ситуация конечно неприятная.
Но это все равно намного лучше чем предыдущая ошибка клаудфари.
Cloudbleed was a Cloudflare buffer overflow.
Data from Cloudflare customers was leaked to all other Cloudflare customers that had access to server memory. This occurred, according to numbers provided by Cloudflare at the time, more than 18,000,000 times before the problem was corrected. Some of the leaked data was cached by search engines.
И как мы видим тут просто все упало, а не "приватные данные утекли в поисковик".
Такое бывает когда кодишь на яп, а он постоянно меняется на минорных версиях.
Тут проблема не в расте и т.д. ибо ошибки случаются всегда и везде. Нужно смотреть шире — проблема в монополии, когда все подвязано на один сервис.
раст агрессивно пропиxивают монополии в попытке завязать всё на себя же, если ты не заметил
И когда это я говорил - закончатся тупенькие проблемы с памятью - начнутся серьезные проблемы с логикой софта. И будет таких проблем все больше и больше. Расто-маны будут патчить ошибки меняя несуществующий стандарт, и "хождение по мукам" будет продолжаться вечно
Каждый раз, когда сишечник закрывает очередное CVE, в коде появляется минимум еще два переполнения буфера...
Логика какое отношение имеет к ЯП? Эти проблемы от отсутствия опыта, а не из-за ЯП.
Что у них не отнять это умение признавать ошибки и объяснять их. Понятно что маркетинговая политика, но она реально оптимальная с точки зрения репутационных рисков. Не многие компании позволяют себе такой подход. Где бы почитать как обсирается например рнк.
а ты попробуй не признать и не объяснить, почему пол интернета лежало. Тебя же конкуренты смешают с чем угодно после такого
> а ты попробуй не признать и не объяснить, почему пол интернета лежало.
После PКН больше чем полинета лежало и что?
Только пук-сpeньк "это не мы, это сервера деградируют"
> Тебя же конкуренты смешают с чем угодно после такого
Какие конкуренты?)
Причём тут ркн, если компании ушли из рф вместе со своими кэш серверами?
> После PКН больше чем полинета лежало и что?
ну расскажи, сколько ты платишь РКН за то, чтобы интернет работал? :)
У клаудфлары есть конкретные клиенты, которые платят деньги и замалчивать от них что произошло — идея не очень.
> Какие конкуренты?)
они захавали много, но пока не всё. Не получив какого-то логического объяснения и обещания типа "больше не повторится" часть людей будет искать более "стабильный" сервис
1. Находим в гитхабе проект ClickHouse
2. Видим на главной странице комит с именем Initial support for e2k (Elbrus-2000)
3. Угораем
Что вы все волнуетесь? Подумаешь, авиадиспетчеры ослепли от падения сети... Зато софт у прова безопасно упал, не выдав данных.
Напомню как в Cloudflare было раньше
https://www.opennet.ru/46100 - ошибка привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов. Утечка привела к появлению в открытом доступе такой информации, как пароли, токены OAut, сессионные cookie, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные.
еще не вечер
а уже сегодня мы видим, что "снижение вероятности совершения ошибок, связанных с работой с памятью" не добавило им возможностей правильно обработать слишком большой файл
Сколько воды налили... и даже написали не-не, нас не взломали ))
Я попробую обобщить где они обгадились. Эти покемоны, решили, что надо выгружать данные используя имя столбца в таблице. Зная имя столбца его можно записать как заголовок в выходном файле, а также выбрать все доступные значения, соответственно в файле оказалось два одинаковых заголовка на каждый столбец, и по набору данных на каждый заголовок (2 на столбец).
Запрос из статьи выбирает не данные фильтров, а метаданные!
И так вышло, что если есть две БД с одной и той же таблицей 'http_requests_features':
default.http_requests_features - distributed обвертка
r0.http_requests_features - реальная таблица на шарде
то они обе есть в метаданных, удивительно да? не может быть ))
В общем как и в любой другой СУБД какие метаданные запросил такие и получишь, и никакие оправдания про права здесь не причем.
P.S. Формат файла не специфицирован, но размер мы ограничим, и руководствовались не наличием ресурсов явно от фонаря... сказочная секта.
