Длинными паролями можно «досить» серверы на Django - 20 Сентября 2013 - tHR

Меню

Календарь

Статистика
	Ваш IP: 216.73.217.135 Вы используете: v Сейчас на сайте: Тех поддержка ->

Облако тэгов

ОС своя ОС написать свою операционную систему видио Обратная сторона Tor бочками сплоиты антенна Направляющяя WEP Strace php libc rand() эксплоит Windows Server 2008 PPTP QIP Virtual proc Tune kernel sysctl freeBSD Qemu Boot GEO Bluetooth game Wine emulator Python Shell червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Microsoft twitter социальная сеть анонимность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный Deutsche Telekom хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista acer Linux патент браузер Firefox Internet Explorer Opera Safari Intel патч Oracle Банкомат IBM США Dell контроль кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ КПРФ Windows 8 взлом Пентагон Украина Facebook Cisco Windows XP нетбук торрент музыка Биометрический Nokia телефон Hardware Password ФБР IP-адрес sms RSA java Google Captcha Symantec Спам Антивирус тест Windows 7 операционная система windows провайдер авторское право rapidshare UNIX свиной грипп шантаж Дети ipod копирайт McAfee HTTPS icann студент Норвегия New York Times YouTube Warner Music КНДР Ubuntu AMD касперский Россия РФ сервер хостинг Wi-Fi суд пароль блог фишинг одноклассники Медведев контрафакт мошенник sony Gps по JavaScript Хакеры Yahoo фас компьютер софт Минкомсвязи праздник Сбой мошенничество Доктор ВЕб Вконтакте исходный код Прослушка тестирование МВД фильтр порнография свобода слова казахстан Sony Music Autodesk сисадмин Gmail кредитная карта LiveJournal шифрование банк Нанотехнологии wikipedia выборы DNS Android атака Mac OS X домен ФСБ прокуратура уголовное дело ICQ Sophos ошибка DARPA военные сайт текст турция конференция спамер Полиция Koobface Великобритания белоруссия Грузия Европа биржа Dr.WEB Билл Гейтс спецслужбы Royal Bank of Scotland смартфон vodafone F-Secure Symbian фильм Новая Зеландия Дата-центр Adobe Австралия госуслуги IDC новости Internet Explorer 9 iPad Ирландия поиск МТС Реклама слежка испания компьютерные игры минобороны Zeus личные данные eset Avira защита виртуализация Черный список BlackBerry индия Москва Голосование социальные сети flash player paypal BitDefender планшет сертификат Anonymous церковь Тюмень технологии IPv6 Ассанж Северная Корея передача данных Оптоволокно сенат арест Samsung Иск учетная запись коррупция Корея Timeline комментарии Британия исследование Cert счетчик Санкт-Петербург климат SOPA PIPA NASA тендер дебаты Megaupload отчет приложение паспорт законодательство Инвестиции платформа отключение DRM санаторий роскомнадзор рынок оон платежная система

Главная » » Длинными паролями можно «досить» серверы на Django

07:49

Длинными паролями можно «досить» серверы на Django

15 сентября разработчики свободного фреймворка Django в срочном порядке выпустили обновленные версии Django 1.4.8, Django 1.5.4 и Django 1.6 beta 4, чтобы закрыть уязвимость, которую публично разгласили посторонние лица утром того же дня. Все патчи доступны через PyPI и со страницы загрузки.

В новых версиях Django закрывается баг во фреймворке аутентификацииdjango.contrib.auth, позволяющий осуществлять атаку типа «отказ в обслуживании» (DoS).

Django хранит в базе данных парольные хэши, и они вычисляются каждый раз при попытке пользователя авторизоваться. По умолчанию Django использует стандарт формирования ключа PBKDF2, который осуществляет множество зацепленных вычислений, чтобы максимально усложнить перебор паролей. По этой причине скорость генерации ключа невысока, это вообще один из самых медленных алгоритмов. Так, на процессоре Core2 скорость генерации составляет около 70 в секунду.

К сожалению, эту сложность можно использовать во вред. Django не ограничивает длину текстовых паролей, и пароли исключительно большого размера сильно нагрузят сервер, выполняющий ресурсоемкие вычисления PBKDF2. Например, пароль длиной в 1 мегабайт нагрузит сервер на 1 минуту, так что один-единственный злоумышленник способен повалить большой сервер крупной компании, просто загружая произвольные пароли на произвольные учетные записи. Уязвимости присвоен классификационный номер CVE-2013-1443.

Веб-фреймворк Django используется на таких крупных сайтах, как Instagram, Disqus, Mozilla, The Washington Times, Pinterest и многих других.

В обычных условиях процесс закрытия багов в Django занимает неделю, говорят разработчики. Но это для нормальных ситуаций, когда специалисты по безопасности сообщают об уязвимостях в приватном порядке и можно спокойно работать над заплаткой. Здесь же ситуация была другая: о баге сообщили публично в списке рассылки django-developers. Но и закрыть дыру было просто: длину пароля просто ограничили 4096 символами.