Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в прокси-сервере Squid, позволяющая обойти ограни..."	+/–
Сообщение от opennews (ok), 19-Апр-20, 09:01
Раскрыты сведения об уязвимостях в прокси-сервере Squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы ( CVE-2019-12520, CVE-2019-12524) присутствуют в коде обработки URL и позволяют обойти правила ограничения доступа, отравить содержимое кэша  и совершать атаку с использованием межсайтового скриптинга... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52765
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Аноним (3), 19-Апр-20, 09:26	–5 +/–
> отравить содержимое кэша Произвести инъекцию смертельного яда?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

6. Сообщение от Аноним (6), 19-Апр-20, 10:01	+7 +/–
Вся ветка 4.х абсолютно неюзабельна. Вплоть до 4.5 squid жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс. Вообще непонятно, чем разрабы занимались, пиля эту версию. Такое впечатление, что все силы вбухали в перехват https (по заказу большого брата, ага), ибо ssl-bump - это единственное, что в 4.х наконец-таки стало работать, как задумано.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #35

8. Сообщение от Аноним (8), 19-Апр-20, 12:10	+/–
Технология двойного назначения, для баннерорезок тоже нужно. Кстати, как с этим в privoxy?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11, #45

9. Сообщение от хотел спросить (?), 19-Апр-20, 12:24	+/–
"cache deny all" решает проблему?
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от rshadow (ok), 19-Апр-20, 13:01	+/–
Это все уже перетекло на клиента. Без проблем с перехватом https. Плюс каждый клиент может добавлять свои косметические фильтры. Привокси в целом тормознутый. Хотя и справлялся с вырезанием для 1-2 клиентов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #12, #13, #16

12. Сообщение от Аноним (6), 19-Апр-20, 13:07	+3 +/–
> Это все уже перетекло на клиента. В корпоративном сегменте за каждым клиентом не набегаешься. Так что вещь все-таки нужная. НО - не в ущерб же всему остальному! Пулы задержки сломали напрочь, а на багрепорты спокойно отвечают, что де "да, знаем, но чинить не будем, потому что никто этим заниматься не хочет" Та же фигня с кастомными сообщениями об ошибках. Все работает - но только с Http, который отовсюду уже де-факто выпилен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

13. Сообщение от user (??), 19-Апр-20, 13:30	+1 +/–
>перетекло на клиента Использовал privoxy на локалхосте до массового https. Баннерорезки приходят и уходят, даже браузеры не вечные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

16. Сообщение от Аноним (16), 19-Апр-20, 15:12	+1 +/–
> Это все уже перетекло на клиента. Ага, всякие фейковые Abblock Origin и uBlock Plus расцвели. Нет уж, пусть лучше рекламу режет админ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19

17. Сообщение от Аноним (17), 19-Апр-20, 15:28	–2 +/–
Откройте секрет - зачем может понадобится suid в 2020 году?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #30, #32, #42, #44

18. Сообщение от Аноним (6), 19-Апр-20, 15:46	+8 +/–
Когда лет через 10 ты окончишь школу и институт, тебя (возможно) возьмут на работу в средне-крупную компанию (где от 1000 юзеров в штате). Там и поймешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21

19. Сообщение от user (??), 19-Апр-20, 15:49	+1 +/–
Благими намерениями... Это цензура, говорю как пользователь баннерорезок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #36

21. Сообщение от Annoynymous (ok), 19-Апр-20, 16:29	–2 +/–
Вот я сейчас работаю в крупной компании, больше 10 тыс. юзеров в штате. Расскажи мне, а то мы может, что-то не то делаем без сквида-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #24, #38, #22

22. Сообщение от СеменСеменыч777 (?), 19-Апр-20, 17:07	+/–
> мы может, что-то не то делаем без сквида-то. может быть и такое. как вы урезаете гугл-аналитику и яндекс-метрику ? inb4 "я сижу под NDA кококо".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от guest (??), 19-Апр-20, 17:33	+2 +/–
Наверное и авторизация по  IP ).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #28

25. Сообщение от guest (??), 19-Апр-20, 17:35	+/–
И парсер логов lightsquid )))
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от guest (??), 19-Апр-20, 17:41	+/–
10 000 пользователей через 1 внешний IP. И вы еще спрашиваете что вы делаете не так?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #47

28. Сообщение от Annoynymous (ok), 19-Апр-20, 17:46	+1 +/–
> Наверное и авторизация по  IP ). Да. И домен. И внезапно появившийся неучтённый MAC адрес или IP будет доложен кому надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

29. Сообщение от Аноним (29), 19-Апр-20, 17:48	+/–
В свое время в одной сети продуктовых магазинов все магазины ходили через одну проксю правда на фрибсд. И всех все устраивало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от хотел спросить (?), 19-Апр-20, 18:09	+/–
альтернатива VPN для доступа к нужным сайтам удобно вместе с FoxyProxy юзать, паттерны прописал и все норм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

31. Сообщение от guest (??), 19-Апр-20, 18:13	+1 +/–
А еще когда то на dial up сидели. И тоже всех устраивало, В СВОЕ ВРЕМЯ
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

32. Сообщение от OpenEcho (?), 19-Апр-20, 18:26	+/–
>зачем может понадобится suid в 2020 году? s/suid/squid/g Вероятно потому, что еще есть народ и компании, которые не хотят чтобы у них крали их данные. Если вы поставите в сети файрвол, который умеет следить и ограничивать исходящий трафик, то вы поймете, как сильно вас хотят поиметь. В конторах, заботящихся о секретах компании, а также просто люди не желающе быть эксперементальной крысой, закрывают весь исходящий трафик и открывают только выход в мир через прокси с авторизацией, где на прокси можо следить за перехваченным трафиком и принимать решение - позволить или нет такой трафик...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

34. Сообщение от Аноним (34), 19-Апр-20, 18:50	+4 +/–
Т.е. терминологией не владеете. Ок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #48

35. Сообщение от Аноним (35), 19-Апр-20, 18:56	+/–
> жрал память как не в себя, так что каждые два часа приходилось убивать и заново стартовать процесс. в нашем случае это оказался кэш ACL у которого внезапно не оказалось никаких ограничений по размеру. Пришлось его вырезать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

36. Сообщение от Аноним (36), 19-Апр-20, 19:07	+/–
Дома можешь делать что угодно. Оператор не сможет тебе ничего порезать - вначале тебе надо сертификат подбросить. А в корпорациях изволь соблюдать ЛНА и работать через централизованный прокси. Если он колет трафик то так и надо - это никакая не цензура.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

38. Сообщение от Аноним (36), 19-Апр-20, 19:10	+/–
Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не сборка из железа и клиентского ПО которая куда только не должна лезть для работоспособности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #46, #50

39. Сообщение от Аноним (29), 19-Апр-20, 19:10	+5 +/–
Золотое было время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

42. Сообщение от анончик (?), 19-Апр-20, 21:43	+1 +/–
а что, в 2020 году что-то ещё научилось в ICAP? я когда последний раз смотрел -- вариантов не было, ни nginx, ни haproxy в него не умели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

44. Сообщение от Ананимас008 (?), 19-Апр-20, 22:51	+/–
можно менять банеры на картинки с котиками
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

45. Сообщение от Аноним (45), 19-Апр-20, 23:15	+/–
https://github.com/wheever/ProxHTTPSProxyMII В нагрузке не тестировал, для дома хватает, хоть одноплатник и грузит заметно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

46. Сообщение от Annoynymous (ok), 20-Апр-20, 08:54	+/–
> Прямая организация доступа в интернет, используя прокси с прозрачной авторизацией. А не > сборка из железа и клиентского ПО которая куда только не должна > лезть для работоспособности. Squid, как кеширующий прокси, для такой задачи слегка избыточен, не? Или лучше просто не придумали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #52

47. Сообщение от PnD (??), 20-Апр-20, 12:25	+/–
Ну поставьте 10 и балансировщик. Сложно? Кэш даже если нужен (где? в тайге? в джунглях Амазонки? А откуда там тысячи коннектов?), много хитов не потеряете. * О, припомнил что кальмар и балансировать умел, ещё в 200х. Так что, кэш и SSL-bump можно прямо на "фронтэнде" (со стороны клиентов) и дальше раскидать по "спикерам"-бэкэндам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

48. Сообщение от Gogi (??), 20-Апр-20, 17:40	+/–
Юмор отдавлен медведем при рождении, ясно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

49. Сообщение от Gogi (??), 20-Апр-20, 17:53	+/–
Мне кажется или ошибки рода "специально сформированный URL" - это позорное позорище **овноразработчиков? В 21 веке не уметь парсить элементарные структуры... с проверкой на правильность... это *овнокод однозначно. Уверен, каждый из его разрабов с гордостью сообщает в CV, что он приложил руку к программе. А они не упоминают, какие ДЫРЫ они не закрыли?
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от АнонимусЪ (?), 21-Апр-20, 18:30	+/–
Так расскажите как у Вас устроено, а то все говорят прозрачны прокси, а как что, не добиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #51

51. Сообщение от Аноним (52), 21-Апр-20, 21:24	+/–
А что там  такого? Вяжешь машинку с доменом. Через хелпер объясняешь какие группы смотреть в тикетах. Прокси кидаешь в доверенную зону. Если ссл-бампинг делать всем ещё сертифкаты корневые подбрасываешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

52. Сообщение от Аноним (52), 21-Апр-20, 21:26	+/–
А есть ещё варианты? Только пожалуйста без клиентской части на пользовательских машинах. Что мне попадалось кривое как неизвестно что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #53

53. Сообщение от Annoynymous (ok), 21-Апр-20, 23:03	+/–
Да хоть 3proxy, которая намного легче, а кеширование в эпоху https никому не надо. Но у нас нет проблемы «без клиентской части», поэтому мы всё это не используем. Я просто интересуюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #54

54. Сообщение от Аноним (54), 22-Апр-20, 21:42	+/–
Когда делаешь ссл-бампинг с кэшем трафика эффективность прыгает от 40 до 60%. Всплески бывают до 80%. Нормально так никому не надо? Единственное но. Голимый джавскрипт и его работа. Сайты бывают перестают работать и замучаешься восстанавливать работоспособность. Так что это не нужно совсем не из шифрования. А из-за непонятных, всплывающих проблем в работе джавакриптов. Ну посмотрел я 3прокси. Как не умел в прозрачную керберос авторизацию, так и сейчас не умеет. Или уже прикрутили в каком-нибудь месте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема