«Каждая из сторон по-своему трактовала предмет договора. Компания исполнитель понимала под этим доработку стандартной конфигурации 1С: Предприятие под задачи заказчика, ее настройку и внедрение. Заказчик видел то, что будет произведена установка и настройка 1С: Предприятие без какой-либо ее модификации.»
Если заказчик подразумевал под предметом исполнения договорных обязательств установку типовой конфигурации без какой-либо ее модификации, то к чему вообще были доработки? Нестыковка какая-то. Т.е. если заказчик утверждал что ему была нужная типовая конфа без доработок, то фактически она у него уже была и предмет спора как таковой не существовал.
Либо в приведенном абзаце что-то напутано, либо я чего-то не так понял.
Спасибо, уже разобрался… в результате получается что getenv('http_proxy') = $_SERVER[«HTTP_PROXY»]… ну а далее действительно все что использует http_proxy из переменных окружения начинает работать через Proxy. Примером уязвимого кода может быть, например, такой:
function autoDetectProxySettings() {
if (($httpProxy = getenv('http_proxy')) || ($httpProxy = getenv('HTTP_PROXY'))) {
return $httpProxy;
}
}
...
// ну а далее ...
$httpProxy = autoDetectProxySettings();
$ch = curl_init("http://server.url/secret_api");
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
if (isset($httpProxy)) { curl_setopt($ch, CURLOPT_PROXY, $httpProxy); }
$result = curl_exec($ch);
Аналогично и использующие переменную среды HTTP_PROXY библиотеки. Вообще интересно было бы краткий список наиболее часто используемых уязвимых библиотек.
Поясните в двух словах, если не сложно… может ли быть данная уязвимость опасна для Apache + PHP подключенного через php5_module?
Тестовый скрипт, выглядящий как:
<?php var_dump($_SERVER["HTTP_PROXY"]); ?>
Показывает что переменная HTTP_PROXY все-таки устанавливается при наличии заголовка Proxy в HTTP запросе от пользователя. Ради интереса попробовал поднять тестовый proxy сервер и передать его в заголовке Proxy в HTTP запросе скрипту, в котором осуществлялся GET-запрос через file_get_contents и с помощью curl_exec в PHP. В обоих случаях несмотря на то что в $_SERVER[«HTTP_PROXY»] содержался IP: порт Proxy запрос не пошел через него. Т.е. получается что $_SERVER[«HTTP_PROXY»] PHP при формировании исходящих запросов игнорировал.
В итоге получили, что любой пользователь извне может изменить значение $_SERVER[«HTTP_PROXY»], но исходящие запросы все равно не используют Proxy прописанный там. Стоит ли последовать рекомендациям, подключив mod_headers, чтобы вырезать заголовок Proxy или можно считать что система не подвержена данной уязвимости?
Современные реалии таковы, что ответить один раз «нет» недостаточно. Взять хотя бы назойливые предложения услуг от операторов связи или провайдеров интернет. Говоришь один раз, нет, спасибо, меня не интересует ваш супер-новый-пакет IPTV каналов, т.к. телевизор я не смотрю в принципе. А почему вы не хотите подключить его именно сейчас, ведь только сегодня у нас специальные условия и бесплатная запись эфира для последующего просмотра в течении месяца. С помощью этой функции вы не пропустите ни одной любимой передачи… НЕТ, СПАСИБО, НЕ ИНТЕРЕСУЕТ. Хорошо, мы перезвоним вам позже, у вас будет время обдумать наше предложение ;) То же самое и с MS ;) Действительно надеяться на то что подобные предложения не будут поступать, без наличия каких-либо действий по их ограничению со стороны пользователя, к сожалению, нельзя.
Я вовсе не защищаю MS, просто считаю что потратить 5 минут на поиски решения по отключению GWX — гораздо проще, чем годами обсуждать возникшую ситуацию на форумах. Особенно забавляют новости про «последнее китайское предупреждение» или про то что в «новой версии окна» окно закрыть невозможно или невозможно отказаться от обновления. Возможно, и кто хочет тот и закроет, и откажется. Я к тому что альтернативы всегда есть.
Первое что я сделаю — это позвоню в милицию и поинтересуюсь, возможно ли оградить себя как-то от подобного рода беспокойств, вторым пунктом будет поиск возможного решения ситуации от людей, которые попали в аналогичную ситуацию, третьим — решение проблемы. При любых кейсах возникшая проблема будет решена с вероятностью 99.9%. Согласитесь, воспользоваться Яндексом или Google'ем не так уж и сложно.
Гм… конечно то что нет галочки «Больше не выводить это уведомление никогда» несколько удручает, но с другой стороны — никто не мешает пользователям воспользоваться открытой информацией по отключению уведомления о необходимости обновления или обратиться в техподдержку Microsoft с данным вопросом. Как вы думаете, какой процент людей, у которых впервые появилось данное уведомление и которые хотели отключить его в будущем попробовали поискать данную информацию или позвонить / написать на горячую линию? Только честно.
Презентацию 16.5 (платформы Битрикс имеется ввиду) я смотрел на YouTube, там действительно проделан большой объем работ в плане упрощения процесса коммуникации с клиентами. Перечислять не буду, желающие могут посмотреть сами. Однако, все нововведения так или иначе привязаны к другому их продукту — Битрикс24. Т.е. да, на сайте можно разместить форму онлайн-чата, при этом посетитель может написать вам любым удобным для него способом — через социальные сети, через Telegram, через форму на сайте, при этом оператор получит данное сообщение в приложение Битрикс24. Т.е. для того чтобы воспользоваться всем этим функционалом, который обещают бесплатно с любой редакцией ОС — необходимо также завести аккаунт в Битрикс24. Мне же хочется немного другого, чтобы сообщения из онлайн-формы на сайте транслировались в Telegram.
Надеюсь понятно объяснил ) Если в двух словах, то решение от Битрикса консолидирует все доступные способы коммуникации в Битрикс24. Т.е. пользователь может написать используя Telegram, оператор увидит его вопрос в приложении Битрикс24. Меня же интересует использование приложения Telegram, как основного приложения для операторов.
Я так понимаю что статью Управление параметрами уведомлений и обновления в Windows 10 на официальном сайте Microsoft практически никто не читал, судя по количеству новостей появляющихся на эту тему (имеется ввиду, что все пишут о том что Microsoft настойчиво предлагает обновиться, но практически никто о том, что есть вполне официальный способ избавиться от этих уведомлений). У меня на рабочем ноутбуке используется лицензионная Win8.1, во время первого же обновления, которое принесло с собой GWX первым делом почитал официальные источники и отключил любые возможные попытки ОС обновиться или вывести данное уведомление (DisableGWX, DisableOSUpgrade оказалось достаточно). Вкратце об этом я писал еще в ноябре прошлого года — Как удалить сообщение в трее о необходимости получения Windows 10?. С тех пор ни одного окна с предложением сделать что-либо касательно Windows 10 я не видел в принципе.
Самое неприятное в этой ситуации — это то что не удалось определить источник появления вредоносного кода на сервере. В моей практике было две похожих поучительных ситуации. В одной модификация файлов произошла из-за критической уязвимости в CMS, в другой — пароль от FTP хостинга оказался скомпрометирован. Во-втором случае все было проще, пароль от FTP был сохранен в FTP-клиенте на ПК одного из контент-менеджеров на домашней машине. После того как он подцепил вирус, все пароли ушли злоумышленникам. Далее, через какой-то промежуток времени бот зашел на этот FTP и дописал свой код в каждый десятый PHP файл на сервере. В результате, те же самые редиректы, только чуть по-другому, плюс три разных backdoor'а (варианты php shell'а) оставленных для доступа в любое время. Резервной копии у людей, естественно не было, поэтому в обоих случаях все решилось развертыванием «чистого» ядра CMS, плюс полуавтоматическим анализом всех остальных *.php не входящих в состав ядра с удалением вредоносного кода. Плюс полной сменой паролей ко всему — FTP, MySQL, SSH, CMS и т.п. Периодически наблюдаем в логах попытки бота достучаться на FTP и HTTP-запросы к уже очищенным зараженным файлам. Мораль очень проста — достаточно было пропустить хоть одну «лазейку», чтобы все повторилось по новой.
+1. Прочитал на одном дыхании, т.к. читать было интересно ;) Даже если пост — это скрытая реклама некоего продукта, то в любом случае позитивно. Вот только сайт решения онлайн-консультанта, который упоминается в посте, почему-то «отпугивает». Хотя бы по одной простой причине, хм, интересно, а сколько это стоит? Смотрим на красивую банку с купюрами, ага, 480 руб. в месяц. Смотрим сноску со звездочкой: «а при оплате за год — всего 750 руб.» ))) Т.е. за год дороже что-ли? Впрочем, все это уже не имеет отношения к делу. Пост интересный.
p.s. К слову, об онлайн-консультантах. А кто-нибудь подскажет решение, которое интегрируется в сайт, но чтобы запросы пользователей с сайта приходили операторам в Telegram? Видел несколько решений, в том числе и на GitHub'е, их основное неудобство в том, что запросы разных посетителей валятся в одно и то же окно Telegram-бота, т.е. фактически визуально диалоги с разными посетителями не разделены. Если кто-нибудь в курсе удобного решения онлайн-консультанта интегрированного с Telegram — буду рад.
Вы же читали абсурдную переписку с провайдером в посте, собственно, это первое что было сделано. Зачем пост именно на Хабре? Как уже говорилось — ради привлечения внимания общественности, в том числе и компетентных представителей провайдера.
Получить доступ-то не проблема, у меня, например, есть VPN соединение и правила на маршрутизаторе, при срабатывании которых, т.е. когда при посещении какого-то URL мы получаем провайдерскую заглушку, IP ресурса просто попадает в Address List, который роутится через VPN (т.е. все это прозрачно внутри сети), но хочется как-то чтобы ситуация уже более-менее «определилась» и подобные блокировки не касались ресурсов, которые не значатся в соответствующих постановлениях. Правда «воевать» за это по-всей видимости пустая трата времени, если даже при наличии общественных организаций вроде РосКомСвободы и т.п. воз и ныне там.
Да, в вашем случае открывается. А вот в Билайне просто таймаут соединения. Аналогичная ситуация и с доступом на GitHub, который сегодня тоже обсуждают здесь — Похоже, Github опять не доступен в России.
Билайн. Все адреса из списка таймаут соединения, блокировка просто по IP даже без выдачи стандартной заглушки blackhole.beeline.ru. Только сегодня писал о том что Билайн плюсом ко всему еще и CloudFlare блокирует, причем также по IP.
Сегодня на волне информации о получении Let's Encrypt'ом кросс-подписей проверил текущую версию клиента. Все работает, однако сертификаты по прежнему выдаются с CN = happy hacker fake CA. Ждем официального старта, т.е. 16 ноября.
Я в свое время знакомился с Turbo Vision по одной из книг Фаронова (если не ошибаюсь), правда в то время естественно уже был Win32 и практического применения консольным интерфейсам находилось мало. Для выполнения же простейших учебных задач, имхо, он сложноват. Принципы ООП гораздо проще понимаются на простых учебных примерах.
«Каждая из сторон по-своему трактовала предмет договора. Компания исполнитель понимала под этим доработку стандартной конфигурации 1С: Предприятие под задачи заказчика, ее настройку и внедрение. Заказчик видел то, что будет произведена установка и настройка 1С: Предприятие без какой-либо ее модификации.»
Если заказчик подразумевал под предметом исполнения договорных обязательств установку типовой конфигурации без какой-либо ее модификации, то к чему вообще были доработки? Нестыковка какая-то. Т.е. если заказчик утверждал что ему была нужная типовая конфа без доработок, то фактически она у него уже была и предмет спора как таковой не существовал.
Либо в приведенном абзаце что-то напутано, либо я чего-то не так понял.
Без него компилятор ругался на std::generate_n… а в optimised.c добавил:
Может быть есть и более «красивое» решение для сборки под MSVC…
Аналогично и использующие переменную среды HTTP_PROXY библиотеки. Вообще интересно было бы краткий список наиболее часто используемых уязвимых библиотек.
Тестовый скрипт, выглядящий как:
Показывает что переменная HTTP_PROXY все-таки устанавливается при наличии заголовка Proxy в HTTP запросе от пользователя. Ради интереса попробовал поднять тестовый proxy сервер и передать его в заголовке Proxy в HTTP запросе скрипту, в котором осуществлялся GET-запрос через file_get_contents и с помощью curl_exec в PHP. В обоих случаях несмотря на то что в $_SERVER[«HTTP_PROXY»] содержался IP: порт Proxy запрос не пошел через него. Т.е. получается что $_SERVER[«HTTP_PROXY»] PHP при формировании исходящих запросов игнорировал.
В итоге получили, что любой пользователь извне может изменить значение $_SERVER[«HTTP_PROXY»], но исходящие запросы все равно не используют Proxy прописанный там. Стоит ли последовать рекомендациям, подключив mod_headers, чтобы вырезать заголовок Proxy или можно считать что система не подвержена данной уязвимости?
p.s. Или же речь идет только о CGI?
Я вовсе не защищаю MS, просто считаю что потратить 5 минут на поиски решения по отключению GWX — гораздо проще, чем годами обсуждать возникшую ситуацию на форумах. Особенно забавляют новости про «последнее китайское предупреждение» или про то что в «новой версии окна» окно закрыть невозможно или невозможно отказаться от обновления. Возможно, и кто хочет тот и закроет, и откажется. Я к тому что альтернативы всегда есть.
Надеюсь понятно объяснил ) Если в двух словах, то решение от Битрикса консолидирует все доступные способы коммуникации в Битрикс24. Т.е. пользователь может написать используя Telegram, оператор увидит его вопрос в приложении Битрикс24. Меня же интересует использование приложения Telegram, как основного приложения для операторов.
p.s. К слову, об онлайн-консультантах. А кто-нибудь подскажет решение, которое интегрируется в сайт, но чтобы запросы пользователей с сайта приходили операторам в Telegram? Видел несколько решений, в том числе и на GitHub'е, их основное неудобство в том, что запросы разных посетителей валятся в одно и то же окно Telegram-бота, т.е. фактически визуально диалоги с разными посетителями не разделены. Если кто-нибудь в курсе удобного решения онлайн-консультанта интегрированного с Telegram — буду рад.