forum.opennet.ru

Составление сообщения

Исходное сообщение

"Впервые за 15 лет обновлена спецификация протокола HTTP/1.1"
Отправлено solardiz, 08-Июн-14 12:40

> Явно определено поведение при наличии непредусмотренных символов пробела и запрещено разбиение содержимого заголовков на несколько строк, что должно исключить появление уязвимостей, манипулирующих разделением запроса
Это почему? Они действительно отказались от поддержки многострочных заголовков, но от атак разделением запроса это не поможет. Там есть секция про эти атаки, из которой нет ссылки на упомянутый в том же RFC отказ от многострочных заголовков. Насколько я понимаю, это две разные вещи, которые и сами авторы RFC не пытаются связать вместе. Или я не прочел нужное место (читал выборочно, так что вполне мог упустить)?
http://tools.ietf.org/html/rfc7230#section-9.4
http://tools.ietf.org/html/rfc7230#appendix-A.2
Вот что еще интересно:
"Userinfo (i.e., username and password) are now disallowed in HTTP and HTTPS URIs, because of security issues"
http://tools.ietf.org/html/rfc7230#section-2.7.1
"A sender MUST NOT generate the userinfo subcomponent (and its "@" delimiter) when an "http" URI reference is generated within a message as a request target or header field value. Before making use of an "http" URI reference received from an untrusted source, a recipient SHOULD parse for userinfo and treat its presence as an error; it is likely being used to obscure the authority for the sake of phishing attacks."

Исходное сообщение
"Впервые за 15 лет обновлена спецификация протокола HTTP/1.1" Отправлено solardiz, 08-Июн-14 12:40
> Явно определено поведение при наличии непредусмотренных символов пробела и запрещено разбиение содержимого заголовков на несколько строк, что должно исключить появление уязвимостей, манипулирующих разделением запроса Это почему? Они действительно отказались от поддержки многострочных заголовков, но от атак разделением запроса это не поможет. Там есть секция про эти атаки, из которой нет ссылки на упомянутый в том же RFC отказ от многострочных заголовков. Насколько я понимаю, это две разные вещи, которые и сами авторы RFC не пытаются связать вместе. Или я не прочел нужное место (читал выборочно, так что вполне мог упустить)? http://tools.ietf.org/html/rfc7230#section-9.4 http://tools.ietf.org/html/rfc7230#appendix-A.2 Вот что еще интересно: "Userinfo (i.e., username and password) are now disallowed in HTTP and HTTPS URIs, because of security issues" http://tools.ietf.org/html/rfc7230#section-2.7.1 "A sender MUST NOT generate the userinfo subcomponent (and its "@" delimiter) when an "http" URI reference is generated within a message as a request target or header field value. Before making use of an "http" URI reference received from an untrusted source, a recipient SHOULD parse for userinfo and treat its presence as an error; it is likely being used to obscure the authority for the sake of phishing attacks."

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Явно определено поведение при наличии непредусмотренных символов пробела и запрещено разбиение содержимого заголовков на несколько строк, что должно исключить появление уязвимостей, манипулирующих разделением запроса > Это почему? Они действительно отказались от поддержки многострочных заголовков, но от атак > разделением запроса это не поможет. Там есть секция про эти атаки, > из которой нет ссылки на упомянутый в том же RFC отказ > от многострочных заголовков. Насколько я понимаю, это две разные вещи, которые > и сами авторы RFC не пытаются связать вместе. Или я не > прочел нужное место (читал выборочно, так что вполне мог упустить)? > http://tools.ietf.org/html/rfc7230#section-9.4 > http://tools.ietf.org/html/rfc7230#appendix-A.2 > Вот что еще интересно: > "Userinfo (i.e., username and password) are now disallowed in HTTP and HTTPS > URIs, because of security issues" > http://tools.ietf.org/html/rfc7230#section-2.7.1 > "A sender MUST NOT generate the userinfo subcomponent (and its "@" delimiter) > when an "http" URI reference is generated within a message as > a request target or header field value. Before making use > of an "http" URI reference received from an untrusted source, a > recipient SHOULD parse for userinfo and treat its presence as an > error; it is likely being used to obscure the authority for > the sake of phishing attacks."
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру