1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › DoS-Angriffe: Hash-Kollisionen können…

Entschuldigung, aber der Artikel ist …

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Entschuldigung, aber der Artikel ist …

    Autor: EisenSheng 28.12.11 - 22:20

    und das mit verlaub, wertlos.

    * Wofür wird der Algorithmus genau genutzt?
    * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder die Interpreten der Sprachen?
    * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django, Python etwa auch?)
    * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Das sind Fragen, die bei mir offen geblieben sind. Das was im Artikel steht dient nur der Panikmache, der Informationsgehalt ist wirklich sehr gering.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Entschuldigung, aber der Artikel ist …

    Autor: Quack 28.12.11 - 22:34

    Die Fragen beantwortet das 6-seitige PDF, das im Artikel verlinkt ist.
    Hätte mir aber auch gewünscht, dass der Artikel die zentralen Punkte knackig auf den Punkt bringt, statt sich mit so einem Geschwurbsel wie "10.000 Core-i7-CPUs" aufzuhalten.

    Hoffe das war jetzt sachlich genug, damit mein Beitrag nicht wieder nach /dev/null verschoben wird.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Entschuldigung, aber der Artikel ist …

    Autor: daftpunk2 28.12.11 - 23:20

    > * Wofür wird der Algorithmus genau genutzt?

    Steht doch im Artikel, um den Server langsam auf eine (Prozessor-)Last von 100% zu bringen, damit er unbenutzbar wird.

    > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder
    > die Interpreten der Sprachen?

    Es sind die Script-Sprachen.

    > * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django,
    > Python etwa auch?)

    Nein, jede Webseite die POST requests empfangen kann, also wohl fast alle da draussen ;)

    > * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Ja, update installieren, bei php kann man jetzt schon suhosin nutzen, sollte eigentlich auf jedem Server drauf sein! suhosin.post.max_vars

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Entschuldigung, aber der Artikel ist …

    Autor: 7hyrael 28.12.11 - 23:36

    tja man muss das ganze halt auch für die galileo-generation greifbar machen, was selbst jetzt, ohne "badewannen bis zum mond stapeln"-Vergleich nur schwer möglich wird *SCNR*

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Entschuldigung, aber der Artikel ist… zu kompliziert

    Autor: Somian 29.12.11 - 07:22

    Ich würde eher sagen dass er mir zu sehr auf die Zielgruppe Profis ausgelegt ist (ok, IT-news für Profis, aber das hier… oO) ich würde mich auch nicht gerade als ahnungslosen computeruser sehen sondern eher als professionellen Anwender. aber der rtikel liebst sich für mich wie…

    "Durch da Ausnutzen eines CLG im FMB des UND kann eine Orbitalinjektion der Serverseitigen UNT hervorgerufen werden wodurch die Projektion der OBN-anomalien auf unbestimmte FMB-konstellationen trifft und somit einen LFS-fail im TGN-bus auslösen. wie auf der CNT 2010 bereits mitgeteilt wurde, sind sowie CBM als auch ULKS Systeme betroffen und die einzige Lösung ist, den WTFBBQ gegen angriffe am LOL-port zu immunisieren."

    So. :D Wär echt gut, wenn ihr zumindest die einzelnen Begriffserklärungen verlinken könntet und mit Fußnoten am Rand oder so einzelne dinge erklärt damit auch der gemeine DAU der nur 2 Jahre Netzwekkram und ähnliches gelernt hat und beim frühstücken über SSH in vi serverseitige php-configs umschreibt auch was davon hat :D

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Entschuldigung, aber der Artikel ist …

    Autor: zilti 29.12.11 - 10:04

    daftpunk2 schrieb:
    --------------------------------------------------------------------------------
    > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > oder
    > > die Interpreten der Sprachen?
    >
    > Es sind die Script-Sprachen.

    Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht übrigens so im Artikel...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Entschuldigung, aber der Artikel ist …

    Autor: HerrJaeger 31.12.11 - 10:16

    zilti schrieb:
    --------------------------------------------------------------------------------
    > daftpunk2 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > > oder
    > > > die Interpreten der Sprachen?
    > >
    > > Es sind die Script-Sprachen.
    >
    > Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen
    > (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht
    > übrigens so im Artikel...


    Das stimmt so nicht, zumindest nicht im Java-Umfeld. Die HashMap-Implementierung (und auch Hashtable) wird von der JRE geliefert (bzw. gehört zum "Standard-Umfang" dazu). Sie nutzen natürlich einfach die Object.hashCode()-Methode. Da die Keys immer Strings sind, wird demnach String.hashCode() genutzt. String wird auch von der JRE geliefert.
    Sie kann, und wird sich vermutlich auch, schonmal zwischen den einzelnen JVM-Implementierungen (Sun/Oracle, IBM, JRockit, ...) unterscheiden.

    Die Appserver nutzen wiederrum HashMaps. Natürlich könnten sie auch eigene Hash-Tabellen implementieren, nur ist das nicht der Ansatz in der Java-Welt.

    Zur "Lösung". Mal eben so String.hashCode() so zu ändern, daß die Methode einen Zufallswert einmischt ist trivial. Die Folgen hingegen sind IMHO verheerend. Ich vermute, daß die Performance gefühlt darunter leiden würde, weil HashMaps, HashSets und co einfach viel zu häufig genutzt werden, nicht nur zum Lagern von POST-Parametern.
    Ich hoffe, daß die Lösung deshalb eher in Richtung anderer Hash-Tabellen-Implementierung laufen wird, NonCollidingHashMap oder so. Oder die Appserver implementieren die Lagerung selbst.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Ubuntu 14.10: Zum Geburtstag kaum Neues
Ubuntu 14.10
Zum Geburtstag kaum Neues
  1. Thomas Voß "Mir ist in zwei Jahren relevanter als Wayland"
  2. Ubuntu Unity 8 soll Standard in 16.04 werden
  3. Ubuntu Unity-Lockscreen-Bug kann Passwort verraten

Spacelift: Der Fahrstuhl zu den Sternen
Spacelift
Der Fahrstuhl zu den Sternen
  1. Raumfahrt Mondrover Andy liefert Bilder für Oculus Rift
  2. Geheimmission im All Militärdrohne X-37B nach Langzeiteinsatz gelandet
  3. Raumfahrt Indische Sonde Mangalyaan erreicht den Mars

3D-Druck ausprobiert: Internetausdrucker 4.0
3D-Druck ausprobiert
Internetausdrucker 4.0
  1. Niedriger Schmelzpunkt 3D-Drucken mit metallischer Tinte
  2. Deltadrucker Magna Japanisches Unternehmen zeigt Riesen-3D-Drucker
  3. 3D-Technologie US-Armee will Sprengköpfe drucken

  1. Android 4.4.2: Kitkat-Update für Motorola Razr HD wird verteilt
    Android 4.4.2
    Kitkat-Update für Motorola Razr HD wird verteilt

    Nach langem Warten erhalten Nutzer von Motorolas Razr HD jetzt Android 4.4.2 für ihr Smartphone. Weiter warten müssen hingegen Besitzer von Mororolas Intel-basiertem Smartphone Razr i.

  2. Galaxy Note 4: 4,5 Millionen verkaufte Geräte in einem Monat
    Galaxy Note 4
    4,5 Millionen verkaufte Geräte in einem Monat

    Samsung soll von seinem neuen Galaxy Note 4 innerhalb eines Monats 4,5 Millionen Geräte verkauft haben. Das sind 500.000 Smartphones weniger als noch beim Galaxy Note 3, allerdings ist das neue Modell bisher auch nur in Südkorea und China erhältlich gewesen.

  3. Archos 50 Diamond: LTE-Smartphone mit Full-HD-Display für 200 Euro
    Archos 50 Diamond
    LTE-Smartphone mit Full-HD-Display für 200 Euro

    Archos hat mit dem 50 Diamond ein sehr günstiges neues Android-Smartphone vorgestellt, das technisch interessanter als die meisten Geräte des Unternehmens ist: Das 50 Diamond hat ein Full-HD-Display, einen 64-Bit-Prozessor von Qualcomm und LTE-Unterstützung.


  1. 15:19

  2. 13:47

  3. 13:08

  4. 12:11

  5. 01:52

  6. 17:43

  7. 17:36

  8. 17:03