информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСетевые кракеры и правда о деле ЛевинаСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
в HTTP и MIME уже есть опциональный заголовок Content-MD5 13.11.09 17:14  Число просмотров: 3717
Автор: dl <Dmitry Leonov>
Отредактировано 13.11.09 17:22  Количество правок: 4
<"чистая" ссылка>
А у апача есть директива ContentDigest, включающая его отдачу.

"Все уже украдено до нас" (С) "Операция Ы" :)

Другое дело, что отдачи такого заголовка именно по запросу, а не всем подряд, вроде бы нет.

http://en.wikipedia.org/wiki/List_of_HTTP_headers
http://www.freesoft.org/CIE/RFC/2068/177.htm
http://httpd.apache.org/docs/1.3/mod/core.html#contentdigest
<networking>
Улучшение для протокола HTTP 13.11.09 16:32  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 13.11.09 16:36  Количество правок: 1
<"чистая" ссылка>
Хочу поделиться своей идей. Возможно это будет изобретение велосипеда, и это уже давно реализовано. В любом случае хотелось бы услышать мнение со стороны.
Итак, суть идеи заключается в том, чтобы веб сервер при наличии в HTTP запросе определенного заголовка, X-ChkSum примеру, в заголовке своего ответа выдавал сmd5 контрольную сумму для запрошенного файла или его части, если была запрошена на загрузку часть файла.
Где это может быть полезно:
- сразу после загрузки файла мы точно можем сказать что файл был скачан корректно;
- контроль целостности и защита от атак Man-in-the-Middle;
- имея на руках битый файл, путем последовательных запросов контрольных сумм, можно вычислить часть файла, отличающуюся от версии на сервере, и скачать именно эту часть. Т.о. не нужно выкачивать заново весь образ диска;
- можно реализовать бинарный патч файлов с определенным содержимым, при условии что размер файла не изменился, а в нем поменялись какая-то его часть.

Недостатки:
- дополнительная нагрузка на сервер за счет подсчета контрольных сумм.

Реализовать это уже можно прямо сейчас, к примеру модулем веб-сервера Apache. А может стоит этим улучшением расширить протокол HTTP.

Жду отзывов и критики.

Полезна ли эта идея?
Да 2(66.6%)
Нет 1(33.3%)
Не знаю0(0%)
Всего:3(100%)

Для участия в голосовании необходимо зарегистрироваться
Запросы на получение кс "части" обрабатывать, имхо, нельзя, либо очень ограничивать. Ибо - куча запросов могут привести к DoS: for offset = 0 to len(BigFile); { getChkSumm(BigFile, offset, len-offset); } 23.03.11 14:53  
Автор: kstati <Евгений Борисов> Статус: Elderman
Отредактировано 23.03.11 14:54  Количество правок: 3
<"чистая" ссылка>
И от Man-in-the-Middle все равно не спасет. Никто не мешает подделывать все, что угодно, в данном случае. 23.03.11 19:27  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
в HTTP и MIME уже есть опциональный заголовок Content-MD5 13.11.09 17:14  
Автор: dl <Dmitry Leonov>
Отредактировано 13.11.09 17:22  Количество правок: 4
<"чистая" ссылка>
А у апача есть директива ContentDigest, включающая его отдачу.

"Все уже украдено до нас" (С) "Операция Ы" :)

Другое дело, что отдачи такого заголовка именно по запросу, а не всем подряд, вроде бы нет.

http://en.wikipedia.org/wiki/List_of_HTTP_headers
http://www.freesoft.org/CIE/RFC/2068/177.htm
http://httpd.apache.org/docs/1.3/mod/core.html#contentdigest
Спасибо, почитаю ;-) 16.11.09 15:03  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach