Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › DoS-Angriffe: Hash-Kollisionen können…

Entschuldigung, aber der Artikel ist …

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Entschuldigung, aber der Artikel ist …

    Autor: EisenSheng 28.12.11 - 22:20

    und das mit verlaub, wertlos.

    * Wofür wird der Algorithmus genau genutzt?
    * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder die Interpreten der Sprachen?
    * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django, Python etwa auch?)
    * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Das sind Fragen, die bei mir offen geblieben sind. Das was im Artikel steht dient nur der Panikmache, der Informationsgehalt ist wirklich sehr gering.

  2. Re: Entschuldigung, aber der Artikel ist …

    Autor: Quack 28.12.11 - 22:34

    Die Fragen beantwortet das 6-seitige PDF, das im Artikel verlinkt ist.
    Hätte mir aber auch gewünscht, dass der Artikel die zentralen Punkte knackig auf den Punkt bringt, statt sich mit so einem Geschwurbsel wie "10.000 Core-i7-CPUs" aufzuhalten.

    Hoffe das war jetzt sachlich genug, damit mein Beitrag nicht wieder nach /dev/null verschoben wird.

  3. Re: Entschuldigung, aber der Artikel ist …

    Autor: daftpunk2 28.12.11 - 23:20

    > * Wofür wird der Algorithmus genau genutzt?

    Steht doch im Artikel, um den Server langsam auf eine (Prozessor-)Last von 100% zu bringen, damit er unbenutzbar wird.

    > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen oder
    > die Interpreten der Sprachen?

    Es sind die Script-Sprachen.

    > * Sind möglicherweise nur einzelne Frameworks betroffen? (Spring, Django,
    > Python etwa auch?)

    Nein, jede Webseite die POST requests empfangen kann, also wohl fast alle da draussen ;)

    > * Besteht spontan eine Möglichkeit sich dagegen zu schützen?

    Ja, update installieren, bei php kann man jetzt schon suhosin nutzen, sollte eigentlich auf jedem Server drauf sein! suhosin.post.max_vars

  4. Re: Entschuldigung, aber der Artikel ist …

    Autor: 7hyrael 28.12.11 - 23:36

    tja man muss das ganze halt auch für die galileo-generation greifbar machen, was selbst jetzt, ohne "badewannen bis zum mond stapeln"-Vergleich nur schwer möglich wird *SCNR*

  5. Re: Entschuldigung, aber der Artikel ist… zu kompliziert

    Autor: Somian 29.12.11 - 07:22

    Ich würde eher sagen dass er mir zu sehr auf die Zielgruppe Profis ausgelegt ist (ok, IT-news für Profis, aber das hier… oO) ich würde mich auch nicht gerade als ahnungslosen computeruser sehen sondern eher als professionellen Anwender. aber der rtikel liebst sich für mich wie…

    "Durch da Ausnutzen eines CLG im FMB des UND kann eine Orbitalinjektion der Serverseitigen UNT hervorgerufen werden wodurch die Projektion der OBN-anomalien auf unbestimmte FMB-konstellationen trifft und somit einen LFS-fail im TGN-bus auslösen. wie auf der CNT 2010 bereits mitgeteilt wurde, sind sowie CBM als auch ULKS Systeme betroffen und die einzige Lösung ist, den WTFBBQ gegen angriffe am LOL-port zu immunisieren."

    So. :D Wär echt gut, wenn ihr zumindest die einzelnen Begriffserklärungen verlinken könntet und mit Fußnoten am Rand oder so einzelne dinge erklärt damit auch der gemeine DAU der nur 2 Jahre Netzwekkram und ähnliches gelernt hat und beim frühstücken über SSH in vi serverseitige php-configs umschreibt auch was davon hat :D

  6. Re: Entschuldigung, aber der Artikel ist …

    Autor: zilti 29.12.11 - 10:04

    daftpunk2 schrieb:
    --------------------------------------------------------------------------------
    > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > oder
    > > die Interpreten der Sprachen?
    >
    > Es sind die Script-Sprachen.

    Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht übrigens so im Artikel...

  7. Re: Entschuldigung, aber der Artikel ist …

    Autor: HerrJaeger 31.12.11 - 10:16

    zilti schrieb:
    --------------------------------------------------------------------------------
    > daftpunk2 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > * Sind tatsächlich die Webserver (Apache, Nginx, Lighttpd!) betroffen
    > > oder
    > > > die Interpreten der Sprachen?
    > >
    > > Es sind die Script-Sprachen.
    >
    > Falsch. Die Sprachen schonmal gar nicht. Es sind die Server der Sprachen
    > (PHP, ASP.NET, Glassfish, Tomcat, Jetty) speziell deren Hashfunktion. Steht
    > übrigens so im Artikel...


    Das stimmt so nicht, zumindest nicht im Java-Umfeld. Die HashMap-Implementierung (und auch Hashtable) wird von der JRE geliefert (bzw. gehört zum "Standard-Umfang" dazu). Sie nutzen natürlich einfach die Object.hashCode()-Methode. Da die Keys immer Strings sind, wird demnach String.hashCode() genutzt. String wird auch von der JRE geliefert.
    Sie kann, und wird sich vermutlich auch, schonmal zwischen den einzelnen JVM-Implementierungen (Sun/Oracle, IBM, JRockit, ...) unterscheiden.

    Die Appserver nutzen wiederrum HashMaps. Natürlich könnten sie auch eigene Hash-Tabellen implementieren, nur ist das nicht der Ansatz in der Java-Welt.

    Zur "Lösung". Mal eben so String.hashCode() so zu ändern, daß die Methode einen Zufallswert einmischt ist trivial. Die Folgen hingegen sind IMHO verheerend. Ich vermute, daß die Performance gefühlt darunter leiden würde, weil HashMaps, HashSets und co einfach viel zu häufig genutzt werden, nicht nur zum Lagern von POST-Parametern.
    Ich hoffe, daß die Lösung deshalb eher in Richtung anderer Hash-Tabellen-Implementierung laufen wird, NonCollidingHashMap oder so. Oder die Appserver implementieren die Lagerung selbst.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. PENTASYS AG, München, Frankfurt am Main, Nürnberg, Stuttgart, Hamburg
  2. Vertec GmbH, Hamburg, Zürich (Schweiz)
  3. Vodafone GmbH, Düsseldorf
  4. BIOTRONIK SE & Co. KG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 16,99€
  2. 6,99€
  3. 8,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Audio Injector Octo Raspberry Pi spielt Surround-Sound
  2. Raspberry Pi Pixel-Desktop erscheint auch für große Rechner
  3. Raspberry Pi Schutz gegen Übernahme durch Hacker und Botnetze verbessert

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Eugene Cernan: Der letzte Mann auf dem Mond ist tot
    Eugene Cernan
    Der letzte Mann auf dem Mond ist tot

    Eugene Cernan verließ im Jahr 1972 als letzter Mensch die Mondoberfläche. Am Montag starb er. Seine Hoffnung, einen weiteren Flug eines Menschen zum Mond zu erleben, wurde nicht erfüllt.

  2. taz: Strafbefehl in der Keylogger-Affäre
    taz
    Strafbefehl in der Keylogger-Affäre

    Die Aufarbeitung der Keylogger-Affäre in der taz schreitet voran. Gegen einen ehemaligen Mitarbeiter wurde ein Strafbefehl zur Zahlung von 6.400 Euro verhängt. Der Verhandlung blieb der Mann allerdings fern.

  3. Respawn Entertainment: Live Fire soll in Titanfall 2 zünden
    Respawn Entertainment
    Live Fire soll in Titanfall 2 zünden

    Für Titanfall 2 sind keine zahlungspflichtigen Erweiterungen geplant. Jetzt stellt Entwickler Respawn Entertainment ein größeres kostenloses Addon vor. Es enthält neben neuen Karten unter anderem den Multiplayermodus Live Fire.


  1. 07:41

  2. 18:02

  3. 17:38

  4. 17:13

  5. 14:17

  6. 13:21

  7. 12:30

  8. 12:08