1. Foren
  2. » Kommentare
  3. » Internet
  4. » Alle Kommentare zum Artikel
  5. » DoS-Angriffe: Hash-Kollisionen können…

Entschuldigung, aber der Artikel ist …

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Entschuldigung, aber der Artikel ist …

    Autor EisenSheng 28.12.11 - 22:20

    und das mit verlaub, wertlos.

    * Wofür wird der Algorithmus genau genutzt?
    * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder die Interpreten der Sprachen?
    * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django, Python etwa auch?)
    * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Das sind Fragen, die bei mir offen geblieben sind. Das was im Artikel steht dient nur der Panikmache, der Informationsgehalt ist wirklich sehr gering.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Entschuldigung, aber der Artikel ist …

    Autor Quack 28.12.11 - 22:34

    Die Fragen beantwortet das 6-seitige PDF, das im Artikel verlinkt ist.
    Hätte mir aber auch gewünscht, dass der Artikel die zentralen Punkte knackig auf den Punkt bringt, statt sich mit so einem Geschwurbsel wie "10.000 Core-i7-CPUs" aufzuhalten.

    Hoffe das war jetzt sachlich genug, damit mein Beitrag nicht wieder nach /dev/null verschoben wird.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Entschuldigung, aber der Artikel ist …

    Autor daftpunk2 28.12.11 - 23:20

    > * Wofür wird der Algorithmus genau genutzt?

    Steht doch im Artikel, um den Server langsam auf eine (Prozessor-)Last von 100% zu bringen, damit er unbenutzbar wird.

    > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder
    > die Interpreten der Sprachen?

    Es sind die Script-Sprachen.

    > * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django,
    > Python etwa auch?)

    Nein, jede Webseite die POST requests empfangen kann, also wohl fast alle da draussen ;)

    > * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Ja, update installieren, bei php kann man jetzt schon suhosin nutzen, sollte eigentlich auf jedem Server drauf sein! suhosin.post.max_vars

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Entschuldigung, aber der Artikel ist …

    Autor 7hyrael 28.12.11 - 23:36

    tja man muss das ganze halt auch für die galileo-generation greifbar machen, was selbst jetzt, ohne "badewannen bis zum mond stapeln"-Vergleich nur schwer möglich wird *SCNR*

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Entschuldigung, aber der Artikel ist… zu kompliziert

    Autor Somian 29.12.11 - 07:22

    Ich würde eher sagen dass er mir zu sehr auf die Zielgruppe Profis ausgelegt ist (ok, IT-news für Profis, aber das hier… oO) ich würde mich auch nicht gerade als ahnungslosen computeruser sehen sondern eher als professionellen Anwender. aber der rtikel liebst sich für mich wie…

    "Durch da Ausnutzen eines CLG im FMB des UND kann eine Orbitalinjektion der Serverseitigen UNT hervorgerufen werden wodurch die Projektion der OBN-anomalien auf unbestimmte FMB-konstellationen trifft und somit einen LFS-fail im TGN-bus auslösen. wie auf der CNT 2010 bereits mitgeteilt wurde, sind sowie CBM als auch ULKS Systeme betroffen und die einzige Lösung ist, den WTFBBQ gegen angriffe am LOL-port zu immunisieren."

    So. :D Wär echt gut, wenn ihr zumindest die einzelnen Begriffserklärungen verlinken könntet und mit Fußnoten am Rand oder so einzelne dinge erklärt damit auch der gemeine DAU der nur 2 Jahre Netzwekkram und ähnliches gelernt hat und beim frühstücken über SSH in vi serverseitige php-configs umschreibt auch was davon hat :D

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Entschuldigung, aber der Artikel ist …

    Autor zilti 29.12.11 - 10:04

    daftpunk2 schrieb:
    --------------------------------------------------------------------------------
    > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > oder
    > > die Interpreten der Sprachen?
    >
    > Es sind die Script-Sprachen.

    Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht übrigens so im Artikel...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Entschuldigung, aber der Artikel ist …

    Autor HerrJaeger 31.12.11 - 10:16

    zilti schrieb:
    --------------------------------------------------------------------------------
    > daftpunk2 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > > oder
    > > > die Interpreten der Sprachen?
    > >
    > > Es sind die Script-Sprachen.
    >
    > Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen
    > (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht
    > übrigens so im Artikel...


    Das stimmt so nicht, zumindest nicht im Java-Umfeld. Die HashMap-Implementierung (und auch Hashtable) wird von der JRE geliefert (bzw. gehört zum "Standard-Umfang" dazu). Sie nutzen natürlich einfach die Object.hashCode()-Methode. Da die Keys immer Strings sind, wird demnach String.hashCode() genutzt. String wird auch von der JRE geliefert.
    Sie kann, und wird sich vermutlich auch, schonmal zwischen den einzelnen JVM-Implementierungen (Sun/Oracle, IBM, JRockit, ...) unterscheiden.

    Die Appserver nutzen wiederrum HashMaps. Natürlich könnten sie auch eigene Hash-Tabellen implementieren, nur ist das nicht der Ansatz in der Java-Welt.

    Zur "Lösung". Mal eben so String.hashCode() so zu ändern, daß die Methode einen Zufallswert einmischt ist trivial. Die Folgen hingegen sind IMHO verheerend. Ich vermute, daß die Performance gefühlt darunter leiden würde, weil HashMaps, HashSets und co einfach viel zu häufig genutzt werden, nicht nur zum Lagern von POST-Parametern.
    Ich hoffe, daß die Lösung deshalb eher in Richtung anderer Hash-Tabellen-Implementierung laufen wird, NonCollidingHashMap oder so. Oder die Appserver implementieren die Lagerung selbst.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Robotik: Humanoide lassen sich mit dem Gehirn steuern
Robotik
Humanoide lassen sich mit dem Gehirn steuern

Der Roboter Geminoid soll bald nur durch Gedanken bewegt werden. Aber bei den Experimenten im Labor von Hiroshi Ishiguro geht es um mehr: Ishiguro will zeigen, dass Brain-Computer-Interfaces besser funktionieren, wenn das gesteuerte Objekt humanoid ist.

  1. Human Robots Roboter, menschengleich

Radeon R9 295X2 im Test: AMDs Wassermonster für 1.000-Watt-Netzteile
Radeon R9 295X2 im Test
AMDs Wassermonster für 1.000-Watt-Netzteile

Hybridkühlung, 50 Ampere auf der 12-Volt-Schiene - AMDs neue Dual-GPU-Grafikkarte ist ein kompromissloses Monster. In gut ausgestatteten High-End-PCs läuft sie dennoch problemlos und recht leise, und das so schnell, dass auch 4K-Auflösung mit allen Details spielbar wird.

  1. Schenker XMG P724 17-Zoll-Notebook mit Grafikleistung einer GTX 780 Ti
  2. Eurocom M4 13,3-Zoll-Notebook mit 3.200 x 1.800 Pixeln und i7-4940MX
  3. Nvidia Maxwell Geforce GTX 750 und GTX 750 Ti im Februar

Samsung Galaxy Note Pro 12.2 im Test: Groß, schwer, aber praktisch
Samsung Galaxy Note Pro 12.2 im Test
Groß, schwer, aber praktisch

Mit Stiftbedienung, viel Leistung und großem Display ist das Samsung Galaxy Note Pro 12.2 vor allem für den Business-Alltag entwickelt worden. Doch auch für Schüler und Studenten kann das Tablet interessant sein.

  1. Apple vs. Samsung 102 US-Dollar für die Autokorrektur
  2. Smartphones Die seltsame Demo des 30-Sekunden-Ladegeräts
  3. Apple vs. Samsung Apples Furcht vor großen Bildschirmen

  1. MPAA und RIAA: Film- und Musikindustrie nutzte Megaupload intensiv
    MPAA und RIAA
    Film- und Musikindustrie nutzte Megaupload intensiv

    Rund 500 Nutzerkonten des geschlossenen Sharehosters Megaupload gehörten zur Film- und Musikindustrie MPAA und RIAA. Beschäftigte von Mitgliedsunternehmen luden 16.455 Dateien mit insgesamt 2.097 GByte hoch, andere wollten bei Megaupload werben oder Filmclips anbieten.

  2. F-Secure: David Hasselhoff spricht auf der Re:publica in Berlin
    F-Secure
    David Hasselhoff spricht auf der Re:publica in Berlin

    Der Song "Looking for freedom" passt zu einem Panel von F-Secure auf der Re:publica im Mai in Berlin. David Hasselhoff wird dort eine Rede für den Antivirenhersteller halten. Markus Beckedahl vom Gründungsteam der Re:publica äußerte sich wenig begeistert über den Redner.

  3. "Leicht zu verdauen": SAP bietet Ratenkauf und kündigt vereinfachte GUI an
    "Leicht zu verdauen"
    SAP bietet Ratenkauf und kündigt vereinfachte GUI an

    SAP will ein neues Ratenkauf-Modell anbieten und die Benutzeroberfläche einfacher bedienbar machen. Rund 80 Prozent der Kunden von SAP sind kleine und mittelgroße Unternehmen.


  1. 16:17

  2. 15:00

  3. 12:36

  4. 12:00

  5. 05:16

  6. 18:28

  7. 16:31

  8. 12:00