1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › DoS-Angriffe: Hash-Kollisionen können…

Entschuldigung, aber der Artikel ist …

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Entschuldigung, aber der Artikel ist …

    Autor: EisenSheng 28.12.11 - 22:20

    und das mit verlaub, wertlos.

    * Wofür wird der Algorithmus genau genutzt?
    * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder die Interpreten der Sprachen?
    * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django, Python etwa auch?)
    * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Das sind Fragen, die bei mir offen geblieben sind. Das was im Artikel steht dient nur der Panikmache, der Informationsgehalt ist wirklich sehr gering.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Entschuldigung, aber der Artikel ist …

    Autor: Quack 28.12.11 - 22:34

    Die Fragen beantwortet das 6-seitige PDF, das im Artikel verlinkt ist.
    Hätte mir aber auch gewünscht, dass der Artikel die zentralen Punkte knackig auf den Punkt bringt, statt sich mit so einem Geschwurbsel wie "10.000 Core-i7-CPUs" aufzuhalten.

    Hoffe das war jetzt sachlich genug, damit mein Beitrag nicht wieder nach /dev/null verschoben wird.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Entschuldigung, aber der Artikel ist …

    Autor: daftpunk2 28.12.11 - 23:20

    > * Wofür wird der Algorithmus genau genutzt?

    Steht doch im Artikel, um den Server langsam auf eine (Prozessor-)Last von 100% zu bringen, damit er unbenutzbar wird.

    > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder
    > die Interpreten der Sprachen?

    Es sind die Script-Sprachen.

    > * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django,
    > Python etwa auch?)

    Nein, jede Webseite die POST requests empfangen kann, also wohl fast alle da draussen ;)

    > * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Ja, update installieren, bei php kann man jetzt schon suhosin nutzen, sollte eigentlich auf jedem Server drauf sein! suhosin.post.max_vars

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Entschuldigung, aber der Artikel ist …

    Autor: 7hyrael 28.12.11 - 23:36

    tja man muss das ganze halt auch für die galileo-generation greifbar machen, was selbst jetzt, ohne "badewannen bis zum mond stapeln"-Vergleich nur schwer möglich wird *SCNR*

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Entschuldigung, aber der Artikel ist… zu kompliziert

    Autor: Somian 29.12.11 - 07:22

    Ich würde eher sagen dass er mir zu sehr auf die Zielgruppe Profis ausgelegt ist (ok, IT-news für Profis, aber das hier… oO) ich würde mich auch nicht gerade als ahnungslosen computeruser sehen sondern eher als professionellen Anwender. aber der rtikel liebst sich für mich wie…

    "Durch da Ausnutzen eines CLG im FMB des UND kann eine Orbitalinjektion der Serverseitigen UNT hervorgerufen werden wodurch die Projektion der OBN-anomalien auf unbestimmte FMB-konstellationen trifft und somit einen LFS-fail im TGN-bus auslösen. wie auf der CNT 2010 bereits mitgeteilt wurde, sind sowie CBM als auch ULKS Systeme betroffen und die einzige Lösung ist, den WTFBBQ gegen angriffe am LOL-port zu immunisieren."

    So. :D Wär echt gut, wenn ihr zumindest die einzelnen Begriffserklärungen verlinken könntet und mit Fußnoten am Rand oder so einzelne dinge erklärt damit auch der gemeine DAU der nur 2 Jahre Netzwekkram und ähnliches gelernt hat und beim frühstücken über SSH in vi serverseitige php-configs umschreibt auch was davon hat :D

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Entschuldigung, aber der Artikel ist …

    Autor: zilti 29.12.11 - 10:04

    daftpunk2 schrieb:
    --------------------------------------------------------------------------------
    > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > oder
    > > die Interpreten der Sprachen?
    >
    > Es sind die Script-Sprachen.

    Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht übrigens so im Artikel...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Entschuldigung, aber der Artikel ist …

    Autor: HerrJaeger 31.12.11 - 10:16

    zilti schrieb:
    --------------------------------------------------------------------------------
    > daftpunk2 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > > oder
    > > > die Interpreten der Sprachen?
    > >
    > > Es sind die Script-Sprachen.
    >
    > Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen
    > (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht
    > übrigens so im Artikel...


    Das stimmt so nicht, zumindest nicht im Java-Umfeld. Die HashMap-Implementierung (und auch Hashtable) wird von der JRE geliefert (bzw. gehört zum "Standard-Umfang" dazu). Sie nutzen natürlich einfach die Object.hashCode()-Methode. Da die Keys immer Strings sind, wird demnach String.hashCode() genutzt. String wird auch von der JRE geliefert.
    Sie kann, und wird sich vermutlich auch, schonmal zwischen den einzelnen JVM-Implementierungen (Sun/Oracle, IBM, JRockit, ...) unterscheiden.

    Die Appserver nutzen wiederrum HashMaps. Natürlich könnten sie auch eigene Hash-Tabellen implementieren, nur ist das nicht der Ansatz in der Java-Welt.

    Zur "Lösung". Mal eben so String.hashCode() so zu ändern, daß die Methode einen Zufallswert einmischt ist trivial. Die Folgen hingegen sind IMHO verheerend. Ich vermute, daß die Performance gefühlt darunter leiden würde, weil HashMaps, HashSets und co einfach viel zu häufig genutzt werden, nicht nur zum Lagern von POST-Parametern.
    Ich hoffe, daß die Lösung deshalb eher in Richtung anderer Hash-Tabellen-Implementierung laufen wird, NonCollidingHashMap oder so. Oder die Appserver implementieren die Lagerung selbst.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen

Galaxy S6 und S6 Edge im Hands on: Rund, schnell, teuer
Galaxy S6 und S6 Edge im Hands on
Rund, schnell, teuer
  1. Galaxy S6 und Edge-Variante Samsungs neue Top-Smartphones im Glaskleid
  2. Exynos 7 Octa Schneller Prozessor des Galaxy S6 wird in 14 nm gefertigt
  3. Qualcomm-Prozessor LG widerspricht Hitzeproblemen beim Snapdragon 810

Star Citizen: Grafiktricks und galaktisch zerstörte Toiletten
Star Citizen
Grafiktricks und galaktisch zerstörte Toiletten
  1. Squadron 42 Kampagne von Star Citizen startet im Herbst 2015
  2. Star Citizen Galaktisches Update mit Lobby, Raketen und Cockpits

JAP-Netzwerk: Anonymes Surfen für Geduldige
JAP-Netzwerk
Anonymes Surfen für Geduldige
  1. Android 5 Google verzichtet (noch) auf Verschlüsselungszwang
  2. Geheimdienstchef Clapper Cyber-Armageddeon ist nicht zu befürchten
  3. Zertifizierungspflicht Die Übergangsfrist für ISO 27000 läuft ab

  1. Wiko: Neue LTE-Smartphones sollen um die 300 Euro kosten
    Wiko
    Neue LTE-Smartphones sollen um die 300 Euro kosten

    MWC 2015 Mit dem Highway Pure und dem Highway Star hat Wiko auf dem MWC zwei neue Mittelklasse-Smartphones vorgestellt. Beide Geräte haben LTE-Unterstützung, insgesamt ist aber das Star etwas besser ausgestattet.

  2. Near Field Magnetic Induction Hands on: Drahtlos-Ohrhörer noch drahtloser
    Near Field Magnetic Induction Hands on
    Drahtlos-Ohrhörer noch drahtloser

    MWC 2015 Drahtlose Ohrhörer kommen nicht ganz ohne Kabel aus. Mit einer neuen Nahfunktechnik soll das jedoch möglich werden. Die Ohrhörer können besonders klein gebaut werden und sollen trotzdem noch eine anständige Akkulaufzeit liefern.

  3. LG: Neue Android-Smartphones kosten ab 100 Euro
    LG
    Neue Android-Smartphones kosten ab 100 Euro

    MWC 2015 LG hatte kurz vor dem MWC gleich vier neue Lollipop-Smartphones im Einsteiger- und Mittelklassebereich gezeigt. Jetzt hat der Hersteller die Preise genannt: Die Modelle Magna, Spirit, Leon und Joy sollen zwischen 100 und 200 Euro kosten.


  1. 16:45

  2. 16:19

  3. 15:11

  4. 15:09

  5. 15:00

  6. 14:45

  7. 14:15

  8. 12:39