SMTP Smuggling - новая техника спуфинга почтовых сообщений,
opennews (??), 22-Дек-23, (0) [смотреть все]
- какой-то булшит, гнать из профессии,
Аноним (1), 00:04 , 22-Дек-23, (1) +5 //
- Согласен Законодательно применить n и закрыли тему А заголовок Content-Length ,
Аноним (16), 06:10 , 22-Дек-23, (16) //
- Не Content-Length, не разбирает SMTP сам по себе никаких заголовков Добавить DAT,
Tron is Whistling (?), 09:23 , 22-Дек-23, (24) //
- ну и естественно без DATALEN больше одного сообщения за заход не пускать ,
Tron is Whistling (?), 09:25 , 22-Дек-23, (26) +1
- 1Даже шокирует то, что диды , пися всё на Сях, так ТУПО спроектировали протоко,
Аноним (80), 15:38 , 23-Дек-23, (80) –3
- Да, надо было на жабоскриптах писать, желательно всё с нпмочки стянув Но вот про,
Tron is Whistling (?), 22:40 , 23-Дек-23, (83) +1
- На самом деле этот протокол никто долго не проектировал - его слепили из того, ч,
Tron is Whistling (?), 22:42 , 23-Дек-23, (84) +1
- Давно есть chunking и BDAT, но опционально ,
anonymous (??), 15:08 , 22-Дек-23, (50) //
- покажи свой smtp-сервер, который сделан строго по стандарту u-блюдочному кстати,
лютый жабби... (?), 08:30 , 22-Дек-23, (21) –6 //
- Ты первый ,
Аноним (35), 11:59 , 22-Дек-23, (35)
- Прекрасный стандарт Можно и так трактовать и эдак, удобненько А главное все про,
Аноним (-), 00:10 , 22-Дек-23, (2) –1 //
- Нельзя Просто в отдельные почтовые сервера зачем то доложили совместимостей нико,
Ivan_83 (ok), 00:27 , 22-Дек-23, (3) +7 //
- потому что почта должна ходить И принимать все, отправлять - соблюдая станда,
нах. (?), 08:58 , 22-Дек-23, (23) //
- x 400Почитал, интересно,
kusb (?), 10:56 , 22-Дек-23, (33)
- Если бы к CRLF CRLF не понагородили алиасов - ничего бы не случилось, лишь пара ,
Ivan_83 (ok), 14:37 , 22-Дек-23, (44) +1
- В стандарте чётко оговорено, какой разделитель Это всё ещё отголоски войны carr,
Аноним (5), 00:31 , 22-Дек-23, (5) +5
- JSON-чики это тоже plain text Нужно делать как сделали с HTTP 2, т е делать но,
all_glory_to_the_hypnotoad (ok), 01:15 , 22-Дек-23, (8) –2 //
- Бинарные протоколы очень плохо заходят в индустрию Есть с десяток основных бинар,
Ivan_83 (ok), 04:09 , 22-Дек-23, (15) +1 //
- Регулярно подвергаюсь кенселенгу на опенет за то что ругаю бинарные протоколы, п,
ОШИБКА Отсутствуют данные в поле Name (?), 11:51 , 22-Дек-23, (34) +1
- Я не говорил что они плохие, я говорил что бинарные протоколы очень сложно заход,
Ivan_83 (ok), 14:34 , 22-Дек-23, (42)
- Для HTTP 1 очень даже нужно прогать на серверной части, и довольно долго и аккур,
all_glory_to_the_hypnotoad (ok), 15:03 , 22-Дек-23, (48) +1
- 12299 питоновских structЯсно, уносите этого в 10-ю палату ,
scriptkiddis (?), 15:18 , 22-Дек-23, (51) +2
- Я писал про клиента, но и серверу для простых вещей много ума не надо Не знаю ни,
Ivan_83 (ok), 19:04 , 22-Дек-23, (65)
- Важное преимущество этих протоколов состоит также в том, что их много Если рань,
ОШИБКА Отсутствуют данные в поле Name (?), 16:50 , 22-Дек-23, (60) +2
- То то программы в индустрии все не бинарники, процессоры прямо текст исполняют ,
Neon (??), 13:33 , 22-Дек-23, (39)
- Это было справедливо в какие-то 80-ые, когда ещё можно было попробовать глазами ,
all_glory_to_the_hypnotoad (ok), 14:53 , 22-Дек-23, (45)
- Тем не менее бинарные протоколы всё ещё плохо заходят Тот же nginx имеет реализа,
Ivan_83 (ok), 15:00 , 22-Дек-23, (46)
- Можешь сколько угодно САМ СЕБЯ убеждать, что бинари - рулез, но практика и моя ,
Аноним (80), 15:31 , 23-Дек-23, (79)
- Согласился бы, не будь таких же приколов с JSON из-за разницы в стандартах ,
Чукча (?), 03:49 , 22-Дек-23, (14)
- Это примерно половина почтовых серверов Из крупных похоже только exim оказался ,
Аноним (4), 00:31 , 22-Дек-23, (4) +1 //
- Астрологи объявляют неделю расщеплений сначала Terrapin, теперь ещё и Smuggling,
BratishkaErik (ok), 01:14 , 22-Дек-23, (7) //
- A Sec Consult козлики могли бы сперва оповестить вендоров, как это принято, н,
OpenEcho (?), 01:36 , 22-Дек-23, (11) +1 //
- Они то предупредили Все претензии к автору перевода, который поленился об этом ,
kazh (?), 02:38 , 22-Дек-23, (12) +1 //
- На самом деле они подождали, пока уважаемые люди тм пофиксили, проблемы осталь,
Аноним (38), 13:18 , 22-Дек-23, (38) //
- Wietse Venema, очередной раз - респект https www postfix org smtp-smuggling h,
OpenEcho (?), 07:19 , 22-Дек-23, (19) +1 //
- Это частичное решение, которое при должной настойчивости можно обойти А менно, ,
Имя (?), 15:48 , 22-Дек-23, (56)
//
- Какой нахрен пакет в TCP Для нудных да, TCP разбивается на пакеты при отправке,
Аноним (61), 17:39 , 22-Дек-23, (61)
- Лучше, - чем ничего,
OpenEcho (?), 18:06 , 22-Дек-23, (64)
- кортинге нигрузяца,
Аноним (66), 19:23 , 22-Дек-23, (66)
- Заглянул на почтовики, reject_unauth_pipelining добавлено с какого-то там борода,
Tron is Whistling (?), 08:41 , 22-Дек-23, (22) +1 //
- Заглянул на почтовики, увидел что хоть reject_unauth_pipelining присутствует с к,
San (??), 09:24 , 22-Дек-23, (25) //
- А смысл Пока достаточно предотвращения pipelining в процессе обработки данных П,
Tron is Whistling (?), 09:27 , 22-Дек-23, (27) //
- Мне кажется, что эти директивы все-таки немного разного назначенияОдна проверяет,
San (??), 09:56 , 22-Дек-23, (29) +1
- В любом случае обе можно обойти, авторизовавшись и выровняв пайплайн по границе ,
Tron is Whistling (?), 10:05 , 22-Дек-23, (31)
- Первая запрещает слать DATA в пайплайн, вместе с другими командами, не отдельным,
Tron is Whistling (?), 10:09 , 22-Дек-23, (32)
- Всегда использовали 0 и не было никаких проблем, зачем придумали эту абракадабр,
ИмяХ (ok), 09:58 , 22-Дек-23, (30) +1 //
- Правда что ли 0 не текст, что является проблемой для текстового протокола, да ,
Аноним (1), 10:11 , 23-Дек-23, (74)
- в hello, world ах Там да, там и повезти могло А в индустрии решения хуже n,
User (??), 09:36 , 25-Дек-23, (93)
- Испытываю странные ощущения - настоящим почтовиком занимался в 10-е годы, сейчас,
abu (?), 15:05 , 22-Дек-23, (49) //
- Уж сколько раз твердили миру in-band signalling - смертельный грех Но только в,
Аноним (55), 15:33 , 22-Дек-23, (55)
- Не уловил в чём проблема Ну один сервак считает это одним письмом, второй счита,
Аноним (57), 16:18 , 22-Дек-23, (57) +1 //
- Ну так проблема у несоответствующих клиентов, зачем поддерживать несоответствие,,
EuPhobos (ok), 10:07 , 23-Дек-23, (73)
- то есть проблема в том что в этом случае подделывается поле не только From , но,
ыы (?), 13:19 , 23-Дек-23, (77) +1 //
1,2,4,7,11,19,22,30,49,55,57,73,77
|
Вариант для распечатки
