Top.Mail.Ru
? ?

Журнал от Объекта

Previous Entry Share Flag Next Entry
ru_nbр
Default
object
ru_nbр

Действительно черт знает что. Этот пост прошел, но в нем я заменил латинскую "p" на русскую "р". Если же название комьюнити написано всеми латинскими буквами, то пост до ЖЖ не доходит.



  • 1
у меня доходит, но комьюнити удаленное или засуспенденное

Да, я читал у вас. Все равно ничего не понимаю. Как, похоже, и вы.

Ну ясно. Предохраняются как-то... После DDoS.

Непонятен смысл такого предохранения.

Мне тоже. Просто, видимо, фильтруют всё что можно, связанное с.

Я думаю, что это просто какой-то ad hoc фильтр для защиты от атаки на ru_nbр

Уж очень ad hoc. Очень.

Это означает, видимо, что атака была очень грамотная, с большого диапазона IP-адресов (если не вообще произвольные, но это сложней). И админы не могли придумать, как ее остановить. Единственный критерий, который нашли - ру_нбп в теле сообщения.

Лучше уж так, чем никак.

Но если атакеры смогли провести грамотную атаку с большого диапазона адресов, что им помешает заменить несколько букв в теле сообщения?

Теперь, когда ЖЖ-сообщество дружными усилиями вскрыло фильтр, которым обороняется СиксАпарт - ничего не помешает :)). С другой стороны, админу в Штатах проще поправить условие, чем хакерам скоординированно запустить новый код.

Но вообще-то это наводит на размышления. Логи бы посмотреть... на тему кровавой гебни. Надеюсь, г-н Носик догадается глянуть.

Ничего не знаю, какая была атака, а защита точно была безграмотная: в то время, когда web interface зависал от ru_nbp, тот же пост через семаджик спокойно редактировался... Куда то они совсем не туда свой regexp засунули...

Просто ЦЕЛЬ у админов - защититься от атаки, а не не дать кому-то запостить эти символы.
Семаджик, насколько мне известно, перед отправкой хэширует сообщение.

Безграмотности не вижу.

Причем перловики не озаботились границами слова ограничиться в своем регекспе.

Исходник теоретически доступны:

http://code.sixapart.com/svn/ljcom/branches/r8/cgi-bin/LJ/SUP/RPC/
http://code.sixapart.com/svn/livejournal/branches/r8/cgi-bin/LJ/Comment.pm

Первое имеет подозрительное название SUP-RPC, но ничего крамольного там не вижу. Во втором есть функция is_text_spam(), которая проверяет текст комментария по регекспам $LJ::TALK_ABORT_REGEXP и @LJ::TALKSPAM.

(что несколько противоречит TOS'овскому "LiveJournal does not pre-screen Content")

Кажется, понятно

Похоже, у них средствами цисковского Context-Based Access Control блокируется любой tcp-пакет, содержащий ключевые слова. Далее клиент делает несколько tcp-retransmission, но разумеется бестолку.

https не помогает (там редирект), помогает dpni

да, а слитно - никак. чудеса.

Фильтр, как было предположено выше.

ну ка:
[Bad username: ru_nb@]
[Bad username: ru-nb@]

А так: [Bad username: ru_nb@] [Bad username: ru-nb@]

ru_nbp
Без tag'ов, все латинские.

Да ничего. Поправили. Видимо, был кондовый фильтр.

  • 1