Длинными паролями можно «досить» серверы на Django - 20 Сентября 2013 - tHR

Меню

Календарь

Статистика
	Ваш IP: 216.73.216.185 Вы используете: v Сейчас на сайте: Тех поддержка ->

Облако тэгов

ОС своя ОС видио казахстана сторона Обратная Tor Грузи антенна php эксплоит обзор популярных связок Windows Server 2008 FreeBSD Jail Elastix VoIP-телефония QIP Virtual kernel proc Tune sysctl freeBSD Bluetooth GEO game DirectX emulator Shell Python Open vSwitch червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Microsoft twitter социальная сеть анонимность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный Deutsche Telekom хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista Linux патент браузер Firefox Internet Explorer Opera Safari Intel Motorola Oracle патч Банкомат IBM США Dell Ford контроль кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ КПРФ Windows 8 взлом Пентагон Украина Facebook Cisco Cloud Windows XP нетбук торрент музыка Биометрический Nokia ФБР IP-адрес sms RSA java флешки Google Captcha Symantec Спам Антивирус тест Windows 7 операционная система windows провайдер авторское право rapidshare UNIX свиной грипп ГИБДД шантаж Дети копирайт McAfee HTTPS icann студент Норвегия New York Times YouTube Warner Music КНДР Ubuntu касперский Россия РФ сервер хостинг верховный суд Wi-Fi суд пароль блог фишинг одноклассники Медведев контрафакт зарплата мошенник sony Universal Gps по JavaScript Хакеры Yahoo фас компьютер софт Минкомсвязи Сбой мошенничество Доктор ВЕб Вконтакте Италия исходный код МВД фильтр порнография свобода слова казахстан онлайн игры Sony Music Autodesk сисадмин Gmail кредитная карта LiveJournal шифрование банк Нанотехнологии wikipedia выборы DNS Android Simple атака Mac OS X Security Essentials домен ФСБ прокуратура уголовное дело ICQ Visual Basic Sophos ошибка DARPA военные сайт Либрусек текст Онлайн игра турция конференция спамер Полиция Koobface Великобритания белоруссия Грузия Европа Linux Mint Билл Гейтс спецслужбы Royal Bank of Scotland смартфон Canonical F-Secure Symbian фильм Новая Зеландия Adobe PDF Австралия IDC Рамблер Internet Explorer 9 iPad VDI должник Ирландия поиск финляндия МТС Реклама слежка патриотизм Zeus личные данные eset защита виртуализация Черный список BlackBerry Solaris льготы индия Москва социальные сети flash player paypal BitDefender планшет сертификат Евросоюз налог Anonymous WebM технологии Чипы Ассанж Северная Корея передача данных Оптоволокно Сколково арест Samsung Иск акция учетная запись iTunes Британия исследование Санкт-Петербург SOPA PIPA обвинение Азербайджан дебаты ico Megaupload CES отчет приложение опрос Интернет-магазин Инвестиции ГЛОНАСС релиз платформа отключение Valve роскомнадзор zbot сигнал

Главная » » Длинными паролями можно «досить» серверы на Django

07:49

Длинными паролями можно «досить» серверы на Django

15 сентября разработчики свободного фреймворка Django в срочном порядке выпустили обновленные версии Django 1.4.8, Django 1.5.4 и Django 1.6 beta 4, чтобы закрыть уязвимость, которую публично разгласили посторонние лица утром того же дня. Все патчи доступны через PyPI и со страницы загрузки.

В новых версиях Django закрывается баг во фреймворке аутентификацииdjango.contrib.auth, позволяющий осуществлять атаку типа «отказ в обслуживании» (DoS).

Django хранит в базе данных парольные хэши, и они вычисляются каждый раз при попытке пользователя авторизоваться. По умолчанию Django использует стандарт формирования ключа PBKDF2, который осуществляет множество зацепленных вычислений, чтобы максимально усложнить перебор паролей. По этой причине скорость генерации ключа невысока, это вообще один из самых медленных алгоритмов. Так, на процессоре Core2 скорость генерации составляет около 70 в секунду.

К сожалению, эту сложность можно использовать во вред. Django не ограничивает длину текстовых паролей, и пароли исключительно большого размера сильно нагрузят сервер, выполняющий ресурсоемкие вычисления PBKDF2. Например, пароль длиной в 1 мегабайт нагрузит сервер на 1 минуту, так что один-единственный злоумышленник способен повалить большой сервер крупной компании, просто загружая произвольные пароли на произвольные учетные записи. Уязвимости присвоен классификационный номер CVE-2013-1443.

Веб-фреймворк Django используется на таких крупных сайтах, как Instagram, Disqus, Mozilla, The Washington Times, Pinterest и многих других.

В обычных условиях процесс закрытия багов в Django занимает неделю, говорят разработчики. Но это для нормальных ситуаций, когда специалисты по безопасности сообщают об уязвимостях в приватном порядке и можно спокойно работать над заплаткой. Здесь же ситуация была другая: о баге сообщили публично в списке рассылки django-developers. Но и закрыть дыру было просто: длину пароля просто ограничили 4096 символами.