Entschuldigung, aber der Artikel ist …

und das mit verlaub, wertlos.

* Wofür wird der Algorithmus genau genutzt?
* Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder die Interpreten der Sprachen?
* Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django, Python etwa auch?)
* Besteht spontan eine Möglichkeit sich dagegen zu schützen?

Das sind Fragen, die bei mir offen geblieben sind. Das was im Artikel steht dient nur der Panikmache, der Informationsgehalt ist wirklich sehr gering.

Die Fragen beantwortet das 6-seitige PDF, das im Artikel verlinkt ist.
Hätte mir aber auch gewünscht, dass der Artikel die zentralen Punkte knackig auf den Punkt bringt, statt sich mit so einem Geschwurbsel wie "10.000 Core-i7-CPUs" aufzuhalten.

Hoffe das war jetzt sachlich genug, damit mein Beitrag nicht wieder nach /dev/null verschoben wird.

> * Wofür wird der Algorithmus genau genutzt?

Steht doch im Artikel, um den Server langsam auf eine (Prozessor-)Last von 100% zu bringen, damit er unbenutzbar wird.

> * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder
> die Interpreten der Sprachen?

Es sind die Script-Sprachen.

> * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django,
> Python etwa auch?)

Nein, jede Webseite die POST requests empfangen kann, also wohl fast alle da draussen ;)

> * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

Ja, update installieren, bei php kann man jetzt schon suhosin nutzen, sollte eigentlich auf jedem Server drauf sein! suhosin.post.max_vars

tja man muss das ganze halt auch für die galileo-generation greifbar machen, was selbst jetzt, ohne "badewannen bis zum mond stapeln"-Vergleich nur schwer möglich wird *SCNR*

Ich würde eher sagen dass er mir zu sehr auf die Zielgruppe Profis ausgelegt ist (ok, IT-news für Profis, aber das hier… oO) ich würde mich auch nicht gerade als ahnungslosen computeruser sehen sondern eher als professionellen Anwender. aber der rtikel liebst sich für mich wie…

"Durch da Ausnutzen eines CLG im FMB des UND kann eine Orbitalinjektion der Serverseitigen UNT hervorgerufen werden wodurch die Projektion der OBN-anomalien auf unbestimmte FMB-konstellationen trifft und somit einen LFS-fail im TGN-bus auslösen. wie auf der CNT 2010 bereits mitgeteilt wurde, sind sowie CBM als auch ULKS Systeme betroffen und die einzige Lösung ist, den WTFBBQ gegen angriffe am LOL-port zu immunisieren."

So. :D Wär echt gut, wenn ihr zumindest die einzelnen Begriffserklärungen verlinken könntet und mit Fußnoten am Rand oder so einzelne dinge erklärt damit auch der gemeine DAU der nur 2 Jahre Netzwekkram und ähnliches gelernt hat und beim frühstücken über SSH in vi serverseitige php-configs umschreibt auch was davon hat :D

daftpunk2 schrieb:
--------------------------------------------------------------------------------
> > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
> oder
> > die Interpreten der Sprachen?
>
> Es sind die Script-Sprachen.

Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht übrigens so im Artikel...

zilti schrieb:
--------------------------------------------------------------------------------
> daftpunk2 schrieb:
> ---------------------------------------------------------------------------
> -----
> > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
> > oder
> > > die Interpreten der Sprachen?
> >
> > Es sind die Script-Sprachen.
>
> Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen
> (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht
> übrigens so im Artikel...


Das stimmt so nicht, zumindest nicht im Java-Umfeld. Die HashMap-Implementierung (und auch Hashtable) wird von der JRE geliefert (bzw. gehört zum "Standard-Umfang" dazu). Sie nutzen natürlich einfach die Object.hashCode()-Methode. Da die Keys immer Strings sind, wird demnach String.hashCode() genutzt. String wird auch von der JRE geliefert.
Sie kann, und wird sich vermutlich auch, schonmal zwischen den einzelnen JVM-Implementierungen (Sun/Oracle, IBM, JRockit, ...) unterscheiden.

Die Appserver nutzen wiederrum HashMaps. Natürlich könnten sie auch eigene Hash-Tabellen implementieren, nur ist das nicht der Ansatz in der Java-Welt.

Zur "Lösung". Mal eben so String.hashCode() so zu ändern, daß die Methode einen Zufallswert einmischt ist trivial. Die Folgen hingegen sind IMHO verheerend. Ich vermute, daß die Performance gefühlt darunter leiden würde, weil HashMaps, HashSets und co einfach viel zu häufig genutzt werden, nicht nur zum Lagern von POST-Parametern.
Ich hoffe, daß die Lösung deshalb eher in Richtung anderer Hash-Tabellen-Implementierung laufen wird, NonCollidingHashMap oder so. Oder die Appserver implementieren die Lagerung selbst.