How to become an author
Search
Write a publication
Pull to refresh

Comments 87

Кстати первоисточник тоже я — поэтому не обвиняйте в корявом переводе.
Total votes 73: ↑72 and ↓1 +71
У вас в первоисточнике картинка поехала. Стоит ее сделать шириной контента, все равно в окне откроется по клику. Прошу прощения за оффтоп
Total votes 2: ↑1 and ↓1 0
blogspot, я его ненавижу уже который год.
Total votes 1: ↑1 and ↓0 +1
Все-таки вы Хомяков, а не Хомаков. :) Я чувствовал, что здесь что-то не так…
Total votes 8: ↑8 and ↓0 +8
UFO just landed and posted this here
Поднял у себя на локалхосте (или у ботнета), наставил куков и вуаля!
Total votes 11: ↑3 and ↓8 -5
Поднял на локалхосте и испортил жизнь сам себе?

Если же есть ботнет то наверное можно делать что-нибудь поинтереснее чем выставлять длинные куки.
Total votes 15: ↑15 and ↓0 +15
UFO just landed and posted this here
UFO just landed and posted this here
Алгоритмы серверов, вероятно, сейчас отрабатывают в случае кукоспама медленно
What? Можно пояснить мысль?
This comment wasn’t rated yet 0
UFO just landed and posted this here
А зачем им обрабатывать такой огромный запрос?
Total votes 2: ↑2 and ↓0 +2
UFO just landed and posted this here
Размер, который может обработать сервер, зависит от настроек сервера, те в свою очередь могут зависеть от конкретного сайта. Если знает администратор, что его сайт использует куки на десятки килобайт — настроит сервер так, чтобы тот принимал десятки килобайт.

Браузеры общаются с разными сайтами и потому поддерживают размер с запасом, тем более им это гораздо дешевле обходится.
Total votes 1: ↑1 and ↓0 +1
UFO just landed and posted this here
Как выкидывать спам-куки — описал ниже в теме.

устанавливаются не только владельцем сайта
Если сайт находится в доменной зоне третьего уровня, которая ему не подконтрольна, то он должен быть готов к тому, что завтра его вообще владелец зоны может отключить. Собственно, не надо на доменах третьего уровня рядом с сомнительными соседями размещать важную информацию.
This comment wasn’t rated yet 0
Речь про обратную ситуацию — когда «съёмщик» третьего уровня «гадит» владельцу зоны.
This comment wasn’t rated yet 0
После этого этот съемщик удаляется. Опять же, раздаете свою доменную зону всем подряд — будьте готовы.
This comment wasn’t rated yet 0
будьте готовы
Так а делать-то что? Тем, кто бесплатно раздаёт домены третьего уровня? Опять же, в куках, вроде бы, не прописывается, кто из поддоменов их поставил.
This comment wasn’t rated yet 0
Nginx не зависает, а запрос отклоняется с ошибкой. Запрос не обрабатывается, поскольку срабатывает ограничение на количество потребляемых ресурсов, заголовок не помещается в сконфигурированный буфер и весь запрос отклоняется. Вы предлагаете, чтобы веб-сервер сожрал всю память в попытке обработать запрос и был прибит OOM-киллером вместе с остальными, хорошими запросами?
Total votes 4: ↑4 and ↓0 +4
UFO just landed and posted this here
Как вы описали — настроить nginx можно, можно даже вообще настроить так, что бы он запрещал ставить куки на .example.com. Но куки можно выставить и JS-скриптом.
This comment wasn’t rated yet 0
А как сервер example.com может запретить что-то серверу subdomain.example.com?
This comment wasn’t rated yet 0
Речь шла про всякие блого-сервисы. А если зону отдали вообще на чужой сервер, то куки — это не самое страшное. Может оказаться так, что будете объянять оперативникам откуда детское порно взялось на принадлежащим вам поддомене.
This comment wasn’t rated yet 0
Т.е., хотите сказать, за участие во freedns можно загреметь?
This comment wasn’t rated yet 0
Кстати вот да.
Видимо, самый доступный выход для админов nginx — настроить кастомную страницу для 413 ошибки, которая джаваскриптом бы стирала все куки домена и перезагружала страницу.
Total votes 6: ↑5 and ↓1 +4
Угу. И тогда Егор Хомяков напишет пост о том, как своей страничкой на вордпрессе/гитхабе стереть все куки всех других сайтов на вордпрессе/гитхабе.
Total votes 3: ↑3 and ↓0 +3
Ну, это будет гораздо меньшая проблема. Ну попросит меня перелогиниться после посещения такой странички — ну и в чем беда? Всё кроме авторизации (настройки, корзину) полюбэ надо в базе хранить а не в куках.

Ну плюс логику на 413 странице можно похитрее сделать, с белым списком неочищаемых кук.
This comment wasn’t rated yet 0
Не решение совсем. Могу создать httponly куку например.
Total votes 4: ↑4 and ↓0 +4
Окей, принято возражение.
This comment wasn’t rated yet 0
Но httponly куку нельзя поставить яваскриптом, если не ошибаюсь.
This comment wasn’t rated yet 0
А как проставить куку на .googleusercontent?
Total votes 5: ↑3 and ↓2 +1
Егор, прекрати ломать интернеты! (с)
Total votes 52: ↑51 and ↓1 +50
Егор, Вы уже предлагали Google, Wordpress и GitHub свой аудит за 1000$?
Total votes 9: ↑8 and ↓1 +7
за 1000$ уже и не работаецо как то(
Total votes 24: ↑24 and ↓0 +24
Да что там $1000, лучше уже сразу за $100.
Total votes 2: ↑0 and ↓2 -2
Каждый третий клиент предлагает платить водкой и ушанками. Потом сильно удивляется что русские тоже доллары любят.
Total votes 6: ↑6 and ↓0 +6
Ну правильно, на доллары же можно купить водки и ушанок :)
Total votes 2: ↑1 and ↓1 0
Предлагаю пробовать на живую. Хочу не заходить на определенные сайты после посещения определенной страницы.
Total votes 3: ↑2 and ↓1 +1
Пробую, что то бомба не работает у меня по трем ссылкам в FF. На блогспоте раз 403 вываливается и нормально дальше грузится.
Total votes 1: ↑1 and ↓0 +1
Краткий пример уязвимости
jsfiddle.net/6t97K/
После воспроизведения скрипта, ломается окно result. Проверял в Chrome и Firefox.
This comment wasn’t rated yet 0
400 Bad Request
Request Header Or Cookie Too Large

Ну впринципе, сервер распознает в чем дело.
This comment wasn’t rated yet 0
Если я правильно понял автора, то смысл этого как раз в этом. Не поломать сервер сайд гигабайтами траффика(тем более что есть ограничения), а вызвать проблемы на стороне клиента.
1. Запустить подобный скрипт на mysuperpage.narod.ru
2. Пользователь, получивший такое количество кук будет испытывать проблемы на *.narod.ru. Пока не почистит куки или проблема не будет решена на сервер сайде.
Вот и поднят вопрос как это порешать.
Один из вариантов.
Total votes 4: ↑4 and ↓0 +4
Что самое главное. Узнать, что что-то идёт не так, как задумано, можно будет или самому, натолкнувшись на уязвимость, или только начав получать отзывы от посетителей. Увеличения трафика нет, со стороны сервера, может, 400я ошибка выпадет.
А для пользователей — не работает.
Total votes 2: ↑1 and ↓1 0
Не отменял. Но это либо плановое (какой интервал между задачами), либо пока что-то не случится (замечено аномальное поведение, или обращения пользователей).
Ни один вменяемый человек не будет сидеть над фермой серверов и вручную логи ковырять на предмет аномальных событий.
This comment wasn’t rated yet 0
> Ни один вменяемый человек не будет сидеть над фермой серверов и вручную логи ковырять на предмет аномальных событий.

Такие вещи обычно автоматизируют.
Total votes 2: ↑2 and ↓0 +2
Придёт SMS от автомониторилки о повышении количества 4хх ответов.
This comment wasn’t rated yet 0
Интересно, только на днях размышлял на тему: у скольких крупных сайтов настолько много куков, что они не влезают в первый TCP пакет запроса? Насколько можно оптимизировать время отклика и трафик, если от этого избавиться? Пытался даже нагуглить исследования на эту тему, но не нашел.
This comment wasn’t rated yet 0
А почему у крупных сайтов должно быть много куков?) Если приспичело ТАК много хранить в куках, то это делается через сессию, что логично, а все кучи настроек уже на сервере.
Total votes 3: ↑2 and ↓1 +1
Не работает. Google Chrome 32.0.1700.76
This comment wasn’t rated yet 0
Все работает, ибо стандарт (коммент ниже).
This comment wasn’t rated yet 0
Ну вы ещё поспорьте со мной о том, что у меня работает, а что нет. Никакого alert`a не выскакивает. Открывал и в текущей вкладке, и в новой, и в новом окне. И обновлял. Тишина.

UDP: а по ссылке с этой страницы работает.
This comment wasn’t rated yet 0
когда открываешь с Альтом в новом окне opener не создается. Ну а вообще это и нужная функциональность
This comment wasn’t rated yet 0
Наверно глупый вопрос, но нельзя ли поставить куку на домен ".ru"? Или вообще на корень — "."? По какому принципу ограничивается насколько общую куку можно ставить?
Total votes 5: ↑4 and ↓1 +3
Принципы достаточно сложные и проблемные, про них написали в heroku devcenter.heroku.com/articles/cookies-and-herokuapp-com

This restriction on cookie setting at the TLD level has been around since the early days of the web. It exists due to security reasons, both to prevent accidentally retransmitting cookies to 3rd parties, and to help provide some partial protection against cookie stuffing and more general types of session fixation attacks.

This becomes more complicated when we consider many countries use second-level domains (e.g., .co.uk, .ne.jp) as pseudo TLDs, and have few or no restrictions on who may register subdomains.
To address that issue, for many years browser vendors used internally-maintained lists of public domains, regardless of what level they fall in the DNS hierarchy. Inevitably this led to inconsistent behavior across browsers at a very fundamental level.

The Mozilla Foundation eventually began a project known as the Public Suffix List, publicsuffix.org/ to record all of these public domains and share them across browser vendors. Beyond Mozilla Firefox, Google and Opera have both incorporated this list into their browsers.
Total votes 3: ↑2 and ↓1 +1
На страницу с ошибкой можно встроить js, который почистит куки.
Total votes 9: ↑5 and ↓4 +1
Но ведь она не откроется до тех пор пока ты не почистишь куки.
Total votes 4: ↑3 and ↓1 +2
Страница с ошибкой — это та страница с 400-ой ошибкой «Request Header Or Cookie Too Large», которую выдает nginx в случае отправки ему куки превышающей размер буфера. Она то, как раз, и открывается.
Total votes 2: ↑2 and ↓0 +2
Разве это не проблема браузеров? Нельзя ли установить max_body_size равный браузерному лимиту?
This comment wasn’t rated yet 0
Причем тут max_body_size? Куки передаются в заголовке. Почему нельзя размер соответсвующих буферов установить равному, уже ответил выше в теме.
Total votes 1: ↑1 and ↓0 +1
Устанавливем Cookie Monster и не разрешаем кому попало ставить печеньки. Особенно актуально для всяких CDN-ов, которым куки вообще не нужны и разрешать их — не лучшая идея (всё-таки user-content, как никак). Ну в нём вроде бы можно запретить third-level доменам ставить куки на second-level без прямого разрешения.
Total votes 2: ↑1 and ↓1 0
Одно НО — любой вменяемый вебсервис, уровня GitHub, ответит HTTP 400 и никакого флуда не выйдет.
Total votes 5: ↑0 and ↓5 -5
Задача не задосить сервер, а сделать сайт недоступным для юзера. Юзер увидит 400 и что? Пойдет на улицу гулять.
Total votes 15: ↑15 and ↓0 +15
Наличие флуда — заметно. Идёт борьба с проблемой.
Спадение количества пользователей при отсутствии какого-то подозрительного трафика — проблема. Ещё вычленить надо. А злоумышленнику того и надо.
This comment wasn’t rated yet 0
CSP директиву бы придумали, чтоб разрешать браузеру посылать куки, если source домен не запрещен в CSP.
This comment wasn’t rated yet 0
Как в Тайланде, Егор? Катои красивые?
Total votes 10: ↑4 and ↓6 -2
Глаз не отвести, чесслово!
Total votes 6: ↑5 and ↓1 +4
Ты все еще там?
Привет)
Total votes 1: ↑0 and ↓1 -1
Конечно тут, я невыездной.
Total votes 1: ↑1 and ↓0 +1
В общем-то давно пора уже подписывать cookies, решит кучу проблем и не только эту.
Total votes 5: ↑3 and ↓2 +1
У меня в броузере IE9 стоит опция third-party cookie: block. Меня эта уязвимость тоже коснется?
Total votes 2: ↑0 and ↓2 -2
Sign up to leave a comment.

Articles

Unlock dark mode

Your account

Sections

Information

Services

Support
© 2006–2024, Habr