Re: Об одной малоизвестной уязвимости в веб сайтах

[Валентин Бартенев]

On Tuesday 17 June 2014 18:05:15 S.A.N wrote:
[..]
> Немного позволю себе лирики, надеюсь никто не обидеться.
> Слепое выполнения протокола CGI 1.1 для инвалидных запросов, напоминает
> анегдот:
> Когда маленькую девочку оставили одну дома и дали указания чужим людям двери
> не открывать.
> В квартире начался пожар, приехали пожарные стучат в двери, но девочка
> утверждает, что двери чужим людям нельзя открывать, потому что были такие
> указания )
> Самое удивительное что переубедить девочку нельзя, она уверена в своей
> правоте, вить указаний открывать двери пожарным не было, то что пожарным
> тушить пожар из окна улицы сложней и накладней, по мнению девочки это
> проблема пожарных, если они пожарные хреновые специалисты им уже не помочь.

Т.е. девочке сказали выдавать 400, а тут пришли пожарные, которые пользуются
теми самыми запросами, которые вы считаете "инвалидными".

Ok.

[..]
> 
> Мораль этой байки такова - при возникновении исключительной ситуации, когда
> нет указаний как поступать в этой ситуации, нужно руководствоватся общим
> правилом поведения в исключительных ситуациях, они гласят - нужно убегать,
> т.е выбрасывать эксепшин, в нашем случаи это выдать 400 статус и завершить
> запрос.
> 

Ещё раз, для nginx это не является "исключительной ситуацией", он знает
как обрабатывать такие запросы и успешно с этим справляется.

--
Валентин Бартенев