Pull to refresh

Comments 17

Всем солнечной субботы! Это даже не решето, это:
image
Видать в компании Microsoft не знают что такое юнит-тесты.
Примеры кода Microsoft которые мне попадались — ужасный шлак.
Range: bytes=18-18446744073709551615

Я вот думаю: ошибка в драйвере http.sys, скорее всего, связана с переполнением целого. В RFC723x черным по белому написано, что протокол не имеет ограничений на длину целых чисел, и что реализации должны быть готовы к произвольной их длине, и не оставлять в этом случае дыр.

Facepalm
Я не буду троллить на тему «винда дырявая» — CVE у всех бывают.

Я задам другой вопрос: почему HTTP обрабатывается с правами ядра? Это вполне себе user-space задача и могла бы решаться как обычная библиотека, загружающаяся в адресное пространство процесса. В этом случае размер проблемы был бы ограничен конкретным тредом/приложением, а не BSOD'ом.
Я вообще увидев http.sys решил, что это апрельская шутка запоздала. Ан нет, kernel mode listener that handles all HTTP traffic for Windows. Может, так быстрее, по аналогии с kernel module для jpeg-декодирования в Linux/Android, или… (на этом мысль обрывается, в голову не приходят еще разумные аргументы).
Да, я понимаю соблазн. Но в случае с bsd, насколько я понимаю, оно всего лишь буфферизирует заголовок http, не вдаваясь в детали (условно говоря — до двойного перевода строки). А tempesta — это «для тех, кто смел и понимает».

В этом случае-то проблема не в том, что кто-то использует ядро для акселерации user-space задач, а в том, что этот код отдаётся всем кастомерам и включен по-умолчанию на всём, что хоть как-то относится к http с серверной стороны.
UFO just landed and posted this here
UFO just landed and posted this here
Возможно что бы проверить акивацию винды или работа wsus-сервиса (сервиса обновления самой системы).
Так же KMS-активация, она через http(s) работает.
UFO just landed and posted this here
это уже не решето, читай первый коммент
Однако, на некоторых современных клиентских выпусках Windows (в зависимости от конфигурации системы и ее сервисов

Где-нибудь имеется более подробная информация о соответствующих настройках системы?
толи автокад, то ли 3д-макс, то ли еще что-то дорогое и масштабное, ставят такие себе «хелп-серверы» отдающие справочную информацию по http на каком-нибудь нестандартном локальном порту. И кто знает — может иногда оно не только локально работает
Ну вот всегда говорил, что индусская прошивка для игровых приставок — не лучшее решение для установки на сервер. Вот вам и очередное подтверждение.
Печаль, но бывает.
Между тем 13 апреля вышли патчи для серверных ОС Microsoft по поводу этого CVE, гуглить по «KB3042553».
Only those users with full accounts are able to leave comments. Log in, please.