Комментарии 173
разочарованы? :)
+12
Естественно, я надеялся за 20 минут создать ресурс с посещаемостью в районе 100 000 уникальных посетителей в сутки, а тут такой облом нечеловеческий:) Нужно подать в суд на автора доклада и конферецию.
+117
Можете на вкончакте залить соответствующего контента и будет вам 100к уников… правда не через 20 минут, ага — тут все от контента будет зависеть )
-41
«И вот когда мы в двух шагах
от груды сказочных богатств…
… Хитрый шанс!» :)
от груды сказочных богатств…
… Хитрый шанс!» :)
+12
В общем, получилось как в анекдоте:
Ученые раскрыли секрет долголетия ежей. Оказалось что никакого секрета там нет. Да и живут ежики недолго.
Ученые раскрыли секрет долголетия ежей. Оказалось что никакого секрета там нет. Да и живут ежики недолго.
+6
Пускай автор теперь проверит посещаемость, и скажет нам результаты)) может все не так и плохо?
+4
НЛО прилетело и опубликовало эту надпись здесь
Сейчас с хабра траффик получите =) Правда Касперский у меня заблокировал Ваш сайт, как фишинговый.
Ничего не могу сказать по поводу Bit-squatting и «перевернутых» посетителей, но определенный процент индивидуумов будет посещать Ваш сайт, ведь если его попробовать транслитерировать, то тоже ничего такой домен получается =)
Ничего не могу сказать по поводу Bit-squatting и «перевернутых» посетителей, но определенный процент индивидуумов будет посещать Ваш сайт, ведь если его попробовать транслитерировать, то тоже ничего такой домен получается =)
+15
Но ведь вы пробовали отловить переворот только одного бита, а их много больше. Возможно, если бы вы владели всеми доменами-перевертышами, эффект был бы ярче
+7
Возможно вы и правы, но в оргинале домен был аналогичным — с ондим перевернутым битом.
+1
Верно, с одним перевернутым битом, но доменов должно быть куча.
+5
В оригинале был далеко не один домен с перевернутым битом. А один — это пример показан один.
И таки да, вероятность того, что перевернётся только один конкретный бит ничтожна.
И таки да, вероятность того, что перевернётся только один конкретный бит ничтожна.
+14
И сколько нужно купить подобных доменов, что бы одурачить пару пользователей? Солько тысяч долларов вложить в проект? Думаю, дешевле к каждому посылать инженера, что бы ставил специальное устройство на канал до провайдера.
+5
Сколько времени прошло с момента покупки домена?
Ничего, что для пуассоновского процесса время является крайне важной характеристикой?
Рекомендую вкурить Вику по этому поводу.
Ничего, что для пуассоновского процесса время является крайне важной характеристикой?
Рекомендую вкурить Вику по этому поводу.
+11
72 бита в «vkontakte». Был бы в 72 раза больше шанс, что хоть 1 человек попадет? :)
0
Да, сама идея с перевёртыванием бита не прокатит даже как первоапрельская шутка.
Сгодится разве что для попила бабла на защиту от «угорзы».
Сгодится разве что для попила бабла на защиту от «угорзы».
+17
там написано из за перегрева или радиации меняется бит, а сейчас как раз не жарко и ядерных аварий в россии не наблюдается, так что продолжайте эксперимент до полной победы!
+12
«Ученые выясняют могут-ли пчелы думать. Последние исследования показали — нет, не могут»
+9
Да… прибавьте ко всему этому еще вероятность, что именно ЭТОТ бит перевернётся…
0
Вы неправильно считаете посетителей.
Вам нужно либо установить код Метрики на страницу с ошибкой 404, либо перенаправлять все запросы, вызывающие эту ошибку на существующие страницы… Либо просто воспользоваться логами веб-сервера.
Я вот зашел на страницу vkon4akte.ru/id00000 и Метрика меня не спалила.
Вам нужно либо установить код Метрики на страницу с ошибкой 404, либо перенаправлять все запросы, вызывающие эту ошибку на существующие страницы… Либо просто воспользоваться логами веб-сервера.
Я вот зашел на страницу vkon4akte.ru/id00000 и Метрика меня не спалила.
+32
УУуууу! Так он еще и не проверяет _все_ обращения…
Вероятность того, что ошибка будет именно в момент открытия только главной страницы…
Вероятность того, что ошибка будет именно в момент открытия только главной страницы…
+29
Согласен, снижаю вероятность до 1/ 25 000 000, до следующих данных.
-4
плюс поддомены, кстати.
+8
+ ко всему нельзя основываться на количестве хитов, могут быть обращения через AJAX ну и запросы из флеша.
+3
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
В IT-сообществе принято проверять, тестировать и убеждаться. В этом нет ничего плохого.
+83
> В IT-сообществе принято проверять, тестировать и убеждаться.
Мне кажется, те самые «британские учёные» именно этим лозунгом и пытаются оправдать свои бесполезные исследования.
Мне кажется, те самые «британские учёные» именно этим лозунгом и пытаются оправдать свои бесполезные исследования.
-22
не обязательно достигать каких-то успехов, т.к. отсутствие успеха в исследованиях — тоже результат, и о нем можно оповестить всех — «там грабли, туда не ходи»
+7
НЛО прилетело и опубликовало эту надпись здесь
Был такой человек — Рене Декарт. Но если вам ближе британские ученые и цирк…
+10
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
В рамках кампании по искоренению идиотизма на Хабре.
Ни в этой, ни в оригинальной статье не было ни слова про изменение битов в IP-заголовках. И даже по гребанным косвенным признакам можно было это понять, потому как никто не ловил соседние айпишники, а ловили соседние домены.
А еще, у меня появились подозрения, что ты — сраный кретин.
Уместно-ли писать «Вы — сраный кретин»?
Ни в этой, ни в оригинальной статье не было ни слова про изменение битов в IP-заголовках. И даже по гребанным косвенным признакам можно было это понять, потому как никто не ловил соседние айпишники, а ловили соседние домены.
А еще, у меня появились подозрения, что ты — сраный кретин.
Уместно-ли писать «Вы — сраный кретин»?
+10
НЛО прилетело и опубликовало эту надпись здесь
Как же удобно это бывает иногда… Доказываешь кому-то что-то, доказываешь, и вдруг понимаешь, что фигню какую-то доказываешь, и — раз — притворяешься, что что-то другое доказывал, и все думают, что ты умный.
ТОЛЬКО ВОТ ЭТО НЕ РАБОТАЕТ, КОГДА НА ДВА КОММЕНТАРИЯ ВЫШЕ ВСЕ ЗАПИСАНО. ФДЫВГАШГ!"№%:;№
Мои подозрения укореняются…
Пытаться донести что-то без аргументов — это просто прекрасно. Но все равно, вот пара контрдоводов:
— Мы говорим о вероятностном процессе, «компьютер давно упал в BSOD еще до всякой попытки что-то там отресолвить» — вообще неприменимо в данном случае.
— Количество кода операционной системы, который запускается постоянно — обычно весьма мало. Самая весомая его часть занимается вводом-выводом, ошибки в вводе-выводе далеко не гарантированно убьют систему. Основная память, используемая самой системой — также буферы ввода-вывода, аналогично. Ошибки в коде/данных программ не убивают систему. Так что относительно вероятности БСОДа вс вероятности порчи строки надо еще поспорить.
— «Сгорание» битов — реально существующая проблема, тут даже спорить нечего.
— И наконец, то, что компьютер один раз упадет в БСОД/паник — совершенно не обозначает, что в следующий раз он не пошлет кривой запрос.
Итого, у вас одно даже одно предложение можно критиковать с 4(или более) разных сторон. И мои подозрения укрепляются еще больше.
И это все при том, что я, хоть и понимаю что эту уязвимость теоретически можно использовать, мало верю в практические применения.
ТОЛЬКО ВОТ ЭТО НЕ РАБОТАЕТ, КОГДА НА ДВА КОММЕНТАРИЯ ВЫШЕ ВСЕ ЗАПИСАНО. ФДЫВГАШГ!"№%:;№
Мои подозрения укореняются…
Пытаться донести что-то без аргументов — это просто прекрасно. Но все равно, вот пара контрдоводов:
— Мы говорим о вероятностном процессе, «компьютер давно упал в BSOD еще до всякой попытки что-то там отресолвить» — вообще неприменимо в данном случае.
— Количество кода операционной системы, который запускается постоянно — обычно весьма мало. Самая весомая его часть занимается вводом-выводом, ошибки в вводе-выводе далеко не гарантированно убьют систему. Основная память, используемая самой системой — также буферы ввода-вывода, аналогично. Ошибки в коде/данных программ не убивают систему. Так что относительно вероятности БСОДа вс вероятности порчи строки надо еще поспорить.
— «Сгорание» битов — реально существующая проблема, тут даже спорить нечего.
— И наконец, то, что компьютер один раз упадет в БСОД/паник — совершенно не обозначает, что в следующий раз он не пошлет кривой запрос.
Итого, у вас одно даже одно предложение можно критиковать с 4(или более) разных сторон. И мои подозрения укрепляются еще больше.
И это все при том, что я, хоть и понимаю что эту уязвимость теоретически можно использовать, мало верю в практические применения.
+1
Я тут где-то читал, что если закинуть 1$ на WMZ кошелек 426343349064, то будет вам счастье. Когда будете убеждаться?
-5
Проверка исследований британских ученых.
+5
я больше удивлен факту, что этот домен был свободен
+33
Для чистоты эксперимента нужно было подождать пару дней пока ваша DNS-запись рассосётся по DNS-серверам всего мира, а уже потом проводить замеры. Ну и замерять побольше, чем сутки, хотя бы месяц или неделю.
Ну в общем-то результат всё равно предсказуем :) Сразу же было понятно, что шанс ничтожно мал («вероятность его резиста крайне мала!».
> Посещаемость Вконтакте – 25 млн. уникальных в сутки, и 2,5 млрд.
> просмотров страниц (при этом тоже идет запрос на домен).
HTTP-запрос к этому серверу, разумеется, идёт при посещении отдельных страниц, но вот только DNS-запрос (на который и рассчитан этот так называемый Bit-squatting) не идёт при каждом открытии страницы. Клиент при первом открытии сайта посылает запрос к DNS, разрешает через него имя хоста в IP-адрес, далее помещает эту пару хост-IP в свой DNS-кэш и все дальнейшие свои запросы к этому серверу делает уже напрямую по IP-адресу из своего DNS-кэша без постоянных новых запросов к DNS. Новый запрос к DNS по этому имени хоста клиент сделает только тогда, когда запись в его кэше протухнет (т.е. минут через 15, ну или какой там TTL у записи).
Ну в общем-то результат всё равно предсказуем :) Сразу же было понятно, что шанс ничтожно мал («вероятность его резиста крайне мала!».
> Посещаемость Вконтакте – 25 млн. уникальных в сутки, и 2,5 млрд.
> просмотров страниц (при этом тоже идет запрос на домен).
HTTP-запрос к этому серверу, разумеется, идёт при посещении отдельных страниц, но вот только DNS-запрос (на который и рассчитан этот так называемый Bit-squatting) не идёт при каждом открытии страницы. Клиент при первом открытии сайта посылает запрос к DNS, разрешает через него имя хоста в IP-адрес, далее помещает эту пару хост-IP в свой DNS-кэш и все дальнейшие свои запросы к этому серверу делает уже напрямую по IP-адресу из своего DNS-кэша без постоянных новых запросов к DNS. Новый запрос к DNS по этому имени хоста клиент сделает только тогда, когда запись в его кэше протухнет (т.е. минут через 15, ну или какой там TTL у записи).
+6
«падающее с орбиты туалетное сиденье», надо запомнить…
+6
Вам, возможно, понравится и источник ее, сериал «Мертвые как Я»
www.kinopoisk.ru/level/1/film/255727/
www.kinopoisk.ru/level/1/film/255727/
+7
чёрт, аж монитор забрызгал… >_<
-1
не надо запоминать неправильный перевод :-) в русском языке для этого предмета есть особое слово, «унитаз»
+2
НЛО прилетело и опубликовало эту надпись здесь
> очень много запросов с мобильных телефонов, или это опечатки
Скорее всего именно опечатки. Тогда это уже совсем другой вид сквотинга, основанного на опечатках, а не на инверсии одного бита в памяти на DNS-сервере.
Сравните пересечение символов на клавишах цифровой клавиатуре мобильников.
Скорее всего именно опечатки. Тогда это уже совсем другой вид сквотинга, основанного на опечатках, а не на инверсии одного бита в памяти на DNS-сервере.
Сравните пересечение символов на клавишах цифровой клавиатуре мобильников.
+1
НЛО прилетело и опубликовало эту надпись здесь
Для этого достаточно проанализировать заголовок Host во всех принятых HTTP-запросах. Если и там хост указан с неверным символом, то это явно опечатка на стороне клиента.
0
НЛО прилетело и опубликовало эту надпись здесь
Ну может на этой странице вконтакта указана кривая ссылка из-за опечатки, неверного копипаста, ошибки набора T9 и т.д.
Но если домен указанный в HTTP-заголовке Host совпадает с тем, который вы зарегали, (с подменой символов, отличающихся на байт), то это явно ошибка не на стороне DNS.
Но если домен указанный в HTTP-заголовке Host совпадает с тем, который вы зарегали, (с подменой символов, отличающихся на байт), то это явно ошибка не на стороне DNS.
-2
пользователи залогинены? куки пришли?
+11
Получается, что в этом случае IP адрес был получен для поддомена cs4186. Вы создавали DNS запись для поддоменов vkoXXXXte.ru?
0
>или как-то хитро все работает.
нет, как раз все правильно. биты переворачиваются где-то вутри функции, стягивающей файл по HTTP — к моменту, когда дергается gethostbyname() в памяти уже неправильная строка, она же потом пишется и в Host:
>очень много запросов с мобильных телефонов, или это опечатки или проблема действительно имеет место.
это логично — железо телефонов вообще работает в достаточно жестких условиях.
тут и перегрев и трансмиттер рядом и питание не очень качественное.
опечатки тут не при чем — у вас поймался запрос с реферером.
нет, как раз все правильно. биты переворачиваются где-то вутри функции, стягивающей файл по HTTP — к моменту, когда дергается gethostbyname() в памяти уже неправильная строка, она же потом пишется и в Host:
>очень много запросов с мобильных телефонов, или это опечатки или проблема действительно имеет место.
это логично — железо телефонов вообще работает в достаточно жестких условиях.
тут и перегрев и трансмиттер рядом и питание не очень качественное.
опечатки тут не при чем — у вас поймался запрос с реферером.
0
ох, что и в какой момент времени — неизвестно. Не факт, что в host попадёт именно строка уже побитая
0
думается, что если бы домены были удобны для тайпсквоттинга, их бы давно захватили. но подождём результатов.
-2
В целом согласен, но я не ставил целью вяснить точные параметры, прост количественно оценить показатели.
И вполне возможно, что такой подход выловит несколько сотен пользователей на топ-5 доменов, но масштаб трагедии (в исходной статье) явно преувеличен.
И вполне возможно, что такой подход выловит несколько сотен пользователей на топ-5 доменов, но масштаб трагедии (в исходной статье) явно преувеличен.
-2
жду отчета
+1
>>За сутки, я перенаправил 259 запросов.
Читатели Хабра искали свободные домены :)
Читатели Хабра искали свободные домены :)
+39
Либо опечатки, либо боты, которые пасут обратные зоны в DNS на предмет появления новых доменов, следом запускают сканеры портов и уязвимостей.
Вообще, проблема надумана. Видимо, автор празднует 1 апреля по какому-то инопланетному кораблю. Стебется и ржет над теми, кто все это всерьез воспринял. Тем более как «угрозу». Два компа из миллиарда, даже в случае такой большой вероятности возникновения ошибки, зашедшие не туда — это не эпидемия.
Вообще, проблема надумана. Видимо, автор празднует 1 апреля по какому-то инопланетному кораблю. Стебется и ржет над теми, кто все это всерьез воспринял. Тем более как «угрозу». Два компа из миллиарда, даже в случае такой большой вероятности возникновения ошибки, зашедшие не туда — это не эпидемия.
0
Получается, что bit-squatting больше всего интересен и выгоден регистраторам доменов. 24 домена — 2400 рублей.:)
+2
Где вы берете домены по 100 рублей? о_0
У всех регистраторов же 599.
У всех регистраторов же 599.
0
На самом деле, мест, где можно купить домены по 100 рублей, довольно много, один из примеров, www.2domains.ru.
0
www.reghouse.ru — 89 рублей рушки
0
НЛО прилетело и опубликовало эту надпись здесь
Вообще-то скорее зависит от того, использовали или нет память с ECC на сервере DNS.
Но я в этом не спец )
Но я в этом не спец )
-5
ну сколько можно
не сервер, не сервер ошибается при «битсквоттинке». Ошибается клиент/маршрутизаторы/etc, у него в голове в какой-то момент vkontakte переглючивается во vkon4akte, и это уже идёт дальше на dns-сервер
ну, т.е. теоретически, предполагалось, что так будет происходить
не сервер, не сервер ошибается при «битсквоттинке». Ошибается клиент/маршрутизаторы/etc, у него в голове в какой-то момент vkontakte переглючивается во vkon4akte, и это уже идёт дальше на dns-сервер
ну, т.е. теоретически, предполагалось, что так будет происходить
+2
по-идее нужен пропатченый днс-сервер, который на запрос vkon4akte.ru будет отдавать записи vkontakte.ru
-11
Почему 25 миллионов? Я например сижу через vk.com
+4
Допустим, что действительно произошла ошибка в dns, и компьютер пользователя вместо вконтакта отрезолвил ваш сайт. Что произойдет? Клиент начнет слать на ваш айпишник запросы с хостом вконтакте (полагать, что ошибка произойдет второй раз оснований нет). Что ответит ваш сервер? Сформируем запрос и изменил host вручную:
![](https://habrastorage.org/r/w1560/storage1/0d47600d/44acf83c/7482a3c9/07ab3576.png)
А ответил он 403. В совокупности временем проведения исследований и тем, что вы считали только запросы только на главную, можно сделать вывод что вы очень тщательно подготовились и учли все нюансы.
![](https://habrastorage.org/storage1/0d47600d/44acf83c/7482a3c9/07ab3576.png)
А ответил он 403. В совокупности временем проведения исследований и тем, что вы считали только запросы только на главную, можно сделать вывод что вы очень тщательно подготовились и учли все нюансы.
+55
НЛО прилетело и опубликовало эту надпись здесь
Не понял вашего комментария. Вполне может, но не игнорирует.
+8
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Да, но при битсквотинге какой хост приходит в заголовках?
А сервер автора очевидно не настроен обрабатывать хост vkontakte.ru, поэтому даже если были коллизии, автор их проебал. (Как писали выше он вообще поставил метрику только на главной).
А сервер автора очевидно не настроен обрабатывать хост vkontakte.ru, поэтому даже если были коллизии, автор их проебал. (Как писали выше он вообще поставил метрику только на главной).
+4
Не должен игнорировать.
«All Internet-based HTTP/1.1 servers MUST respond with a 400 (Bad Request) status code to any HTTP/1.1 request message which lacks a Host header field.» (с) RFC 2616
«All Internet-based HTTP/1.1 servers MUST respond with a 400 (Bad Request) status code to any HTTP/1.1 request message which lacks a Host header field.» (с) RFC 2616
+2
Это не одно и то же. Можно выдавать 400 на отсутствие Host, но при этом игнорировать его значение.
+2
о как! Посмотреть что он пустой, выдать 400 и потом проигнорировать? :)
-1
Нет, посмотреть, что он не пустой, не выдать 400 и проигнорировать.
-1
Да, но мой коммент относился к фразе «может игнорировать». Он не может игнорировать, так как должен отдать 400. Но потом может не учитывать значение этого поля для принятие решения какой контент выдать в результате.
пс. просто принимал участие в разработке специфического веб-сервера, который удовлетворяет эти RFC, по этому и заметил неточность.
пс. просто принимал участие в разработке специфического веб-сервера, который удовлетворяет эти RFC, по этому и заметил неточность.
0
> Но потом может не учитывать значение этого поля для
> принятие решения какой контент выдать в результате.
Это называется игнорировать значение поля Host.
> принятие решения какой контент выдать в результате.
Это называется игнорировать значение поля Host.
+2
Это такой стиль разговора — выбрасывать первую часть, и брать вторую?
Я нашел неточность, отметил ее в комменте с ссылочкой на RFC. Зачем вот поднимать словоблудие — что сначала и что потом? Факт в том, что сервер обязан учитывать это поле при формировании ответа (для выдачи 400-ого ответа в случае если он пустой)
Спорить с этим утверждением — это спорить с RFC :)
Я нашел неточность, отметил ее в комменте с ссылочкой на RFC. Зачем вот поднимать словоблудие — что сначала и что потом? Факт в том, что сервер обязан учитывать это поле при формировании ответа (для выдачи 400-ого ответа в случае если он пустой)
Спорить с этим утверждением — это спорить с RFC :)
-2
НЛО прилетело и опубликовало эту надпись здесь
В оригинальном комменте, на который я отвечал нет ни слова про несоотвествие. Есть только об игнорировании этого поля.
И я привел доказательство что полностью игнорировать нормальный HTTP/1.1 сервер не имеет права. И по этому фраза «может игнорировать Host», которая была в сообщении, на которое я отвечал, не верна.
И я привел доказательство что полностью игнорировать нормальный HTTP/1.1 сервер не имеет права. И по этому фраза «может игнорировать Host», которая была в сообщении, на которое я отвечал, не верна.
-1
Как вообще ситуация, что клиент не шлет Host, связана с тем, что он шлет хост с одним байтом, отличным от того, по которому резолвится данный хост?
-2
Никак, а должна? о чем это Вы?
Внимательней читайте то, на что идет комментарий — я отвечал только фразу vk2 о том, что сервер может полностью игнорировать поле Host. И никак не связан с различиями значения этого поля.
Просто ответ был на комментарий vk2, и никакого отношения к Вашему комментарию о том, что «может, но не игнорирует» (с которым я согласен и поставил +1) не имеет.
Чуть внимательней надо все-таки быть. Действительно странно, когда начинают спорить с чем-то, что совсем не относилось к комментарию. Хотя я не раз пытался ясно указать на то, что про различия в значении пола мой ответ ни как не касался, все равно Вы почему-то считали, что мой ответ бы на Ваш комментарий…
Внимательней читайте то, на что идет комментарий — я отвечал только фразу vk2 о том, что сервер может полностью игнорировать поле Host. И никак не связан с различиями значения этого поля.
Просто ответ был на комментарий vk2, и никакого отношения к Вашему комментарию о том, что «может, но не игнорирует» (с которым я согласен и поставил +1) не имеет.
Чуть внимательней надо все-таки быть. Действительно странно, когда начинают спорить с чем-то, что совсем не относилось к комментарию. Хотя я не раз пытался ясно указать на то, что про различия в значении пола мой ответ ни как не касался, все равно Вы почему-то считали, что мой ответ бы на Ваш комментарий…
0
Я не считал, что ваш комментарий был ответом на мой.
Вы поставили +1 комментарию «может, но не игнорирует», и продолжаете доказывать что не может. В чем смысл?
Все проблемы от неверного понимания слова «игнорировать». Вы пытаетесь придумать ему значение, которое не было вложено vk2 изначально, а потом спорите с этим значением. Вы сами написали «но потом может не учитывать значение этого поля для принятие решения какой контент выдать» — это и есть «игнорировать поле при принятии решения, какой контент выдать».
Вы поставили +1 комментарию «может, но не игнорирует», и продолжаете доказывать что не может. В чем смысл?
Все проблемы от неверного понимания слова «игнорировать». Вы пытаетесь придумать ему значение, которое не было вложено vk2 изначально, а потом спорите с этим значением. Вы сами написали «но потом может не учитывать значение этого поля для принятие решения какой контент выдать» — это и есть «игнорировать поле при принятии решения, какой контент выдать».
0
эх, ну откуда столько категоричности? Мой комментарий уточнил утверждение о том, как должен вести себя сервер.
Если бы я написал «не должен полностью игнорировать» меньше было бы вопросов? Я ж для этого и цитату привел чтоб понять о чем я пишу…
Если бы я написал «не должен полностью игнорировать» меньше было бы вопросов? Я ж для этого и цитату привел чтоб понять о чем я пишу…
0
НЛО прилетело и опубликовало эту надпись здесь
RFC — это всё чудесно. Стандарты рулят.
Но позвольте, в защиту homm, Вас спросить:
— С какого перепугу кастомный сервер хакера что-то кому-то должен?
Он вполне может не быть web-сервером в смысле RFC-2068, RFC-2616.
НО при этом внешне походить (для клиентов) на вполне обычный web-сервер. Причём так что клиенты при всём желании не заметят разницы.
Снаружи сей сервер — примерный гражданин Америки.
А внутри пегасы на единорогах скачут по сферической траве в вакууме.
Но позвольте, в защиту homm, Вас спросить:
— С какого перепугу кастомный сервер хакера что-то кому-то должен?
Он вполне может не быть web-сервером в смысле RFC-2068, RFC-2616.
НО при этом внешне походить (для клиентов) на вполне обычный web-сервер. Причём так что клиенты при всём желании не заметят разницы.
Снаружи сей сервер — примерный гражданин Америки.
А внутри пегасы на единорогах скачут по сферической траве в вакууме.
+1
НЛО прилетело и опубликовало эту надпись здесь
Гораздо вероятнее, что пользователя убьет падающим с орбиты туалетным сиденьем, чем он попадет на сайт-перевертыш и скачает вирус вместо обновления.
ещё бы!
![image](https://habrastorage.org/getpro/habr/comment_images/23d/f08/1b1/23df081b1a4f9418ef399b586d40bfdd.png)
+1
НЛО прилетело и опубликовало эту надпись здесь
Dead Like Me хороший сериал, да)
+1
Мое мнение такое)
Этот случайный трафик, который увидел автор оригинала, взялся от начинающих тайп-сквоттеров. Которые проверяли занятость домена не через сервисы, а, вводя адрес в браузер, смотря, нет ли там сайта (ну некоторые думают, что если ничего не высветилось, значит домен свободен) :)
Этот случайный трафик, который увидел автор оригинала, взялся от начинающих тайп-сквоттеров. Которые проверяли занятость домена не через сервисы, а, вводя адрес в браузер, смотря, нет ли там сайта (ну некоторые думают, что если ничего не высветилось, значит домен свободен) :)
0
Да, измельчали угрозы. Толи дело проблема 2000 года и мегабабло свалившееся на её (проблемы) устранение…
+3
Когда я увидел название домена, то подумал, что во время его регистрации создатель вспомнил Чака Норриса, а жаль.
+1
НЛО прилетело и опубликовало эту надпись здесь
Ну, по крайней мере домен покупали не зря, можете теперь продать спамерам: Вкончакте — отличное название для ещё одного сайта «порнознакомств».
+2
Я так и думал
-2
НЛО прилетело и опубликовало эту надпись здесь
В Apple тоже вирусов не ждали
-1
Выражаю вам с vgrayster личную благодарность.
Жаль, что исследование было некорректным, надеюсь вы поправите настройки сервера и учтете все нюансы, которые были упомянуты в комментах. Тема хоть и кажется шуткой, однако вполне вероятно таковой не является. Да, масштабы тоже не те, что с дурошлёпством админов в случаях с SVN и недавних «утечек» в поисковики, но тем не менее. Тут как раз винить админов, даже грамотных, совершенно не в чем.
Жаль, что исследование было некорректным, надеюсь вы поправите настройки сервера и учтете все нюансы, которые были упомянуты в комментах. Тема хоть и кажется шуткой, однако вполне вероятно таковой не является. Да, масштабы тоже не те, что с дурошлёпством админов в случаях с SVN и недавних «утечек» в поисковики, но тем не менее. Тут как раз винить админов, даже грамотных, совершенно не в чем.
+1
Наломалово…
0
катастрофой сравнимой с Фокусимой
Не хочу показаться занудой, но я не сразу понял о чем идет речь. Мб всё же «Фукусима» )
0
Вы бы кстати домены вида *.vkontakte.ru замапили к себе.
По ним кагбэ основной трафик идёт.
По ним кагбэ основной трафик идёт.
+1
НЛО прилетело и опубликовало эту надпись здесь
Вероятность «переворачивания бита», соответственно, можно считать ниже чем 1 / 25 000 000.
Извольте позанудствовать. То что у вас на 25 млн. не произошло ниодного «переворачивания бита» не означает что вероятность «переворачивания бита» ниже 1 / 25 000 000.
Пример: если у вас при подбрасывании монетки десять раз подряд выпала решка, то это не означает что вероятность выпадения решки при подбразывании монетки меньше 1 / 10.
+2
Наивный подсчет даёт верхнюю планку вероятности подобных ошибок 10-10: современные процессоры с гигагерцовыми частотами и несколькими ядрами очень вряд ли делают больше 1 подобной ошибки в секунду, которая рано или поздно становится причиной глюков и зависаний «обычных» компьютеров. Но, в современном серверном и сетевом оборудовании используется более надежная память с ECC, протоколы с CRC, контрольными суммами и т.д. и т.п., которые эти ошибки отлавливают.
Скажем, банальный CRC32 пропускает незамеченной 1 ошибку из ~4 миллиардов, то есть еще почти 10-10. Итого общая вероятность срабатывания порядка 10-20. Если у вас поток 108 запросов в сутки, то вам нужно 1012 суток, то есть ~3 миллиарда лет.
Таких наивных расчетов вполне достаточно, чтобы сэкономить на покупке ненужного домена:)
Скажем, банальный CRC32 пропускает незамеченной 1 ошибку из ~4 миллиардов, то есть еще почти 10-10. Итого общая вероятность срабатывания порядка 10-20. Если у вас поток 108 запросов в сутки, то вам нужно 1012 суток, то есть ~3 миллиарда лет.
Таких наивных расчетов вполне достаточно, чтобы сэкономить на покупке ненужного домена:)
+2
мне один друг, который учится на нанотехнологии, рассказывал в ответ на вопрос — как так, мол нанороботы, там же расстояния с молекулы, наверняка действуют потенциальные ямы и вообще неопределенность гейзенберга. как так, мол, за 10 лет ячейки памяти должны деградировать по закону полураспада частиц, а это, для миллиардов ячеек означает, где-то бит в час. как и почему, я спрашивал его у нас СБИС имеют такие большие запасы прочности и вообще как мы защищены от квантовых мутаций нанороботов.
так он мне пояснил по хардкору, мол, вероятность замещения в нано-механизме одного атома другим очень мала, и её можно не принимать в расчет. то же самое о деградации процессоров. мол, в 10 миллиардах атомарных транзисторов(толщиной в несколько атомов, как сейчас, где уже проявляются квантовые эффекты, такие как пробой, пот.яма или неопределенность) вероятность того что один транзистор выродится в другой, или перестанет работать — очень мала. наглядный тому пример — процессоры «атом».
так он мне пояснил по хардкору, мол, вероятность замещения в нано-механизме одного атома другим очень мала, и её можно не принимать в расчет. то же самое о деградации процессоров. мол, в 10 миллиардах атомарных транзисторов(толщиной в несколько атомов, как сейчас, где уже проявляются квантовые эффекты, такие как пробой, пот.яма или неопределенность) вероятность того что один транзистор выродится в другой, или перестанет работать — очень мала. наглядный тому пример — процессоры «атом».
-4
>Вероятность «переворачивания бита», соответственно, можно считать ниже чем 1 / 25 000 000.
Я извиняюсь, но данное высказывание нельзя назвать верным, тк результат вашего эксперимента не является математическим доказательством.
Что я имею ввиду:
Если вы 10 раз подбросите монету, и 9 раз выпадет орел, это не говорит о том, что вероятность выпадения орла 9/10.
Я извиняюсь, но данное высказывание нельзя назвать верным, тк результат вашего эксперимента не является математическим доказательством.
Что я имею ввиду:
Если вы 10 раз подбросите монету, и 9 раз выпадет орел, это не говорит о том, что вероятность выпадения орла 9/10.
+1
а если бросить монету 25 000 000 раз, то распределение, при прочих равных условиях будет примерно одинаково)
0
Не факт. Более того, можно заранее вычислить распределение результатов — с какой вероятностью какое соотношение «орлов»/«решек» получим.
И даже если мы получим на опыте какое-нибудь соотношение типа 100/1 — это всё равно не будет доказательством того, что орёл в 100 раз вероятнее решки. «По математике» это вообще ничего не будет означать — случайность, если же рассмотреть «физику» процесса, то это может быть намёком на то, что построенная математическая модель (идеально симметричная монета) не верна — и попытаться уточнить модель. Потом вероятность будет снова рассчитываться «по модели».
Главная ошибка автора статьи: вероятность невозможно измерить, а он решил, что измерил.
И даже если мы получим на опыте какое-нибудь соотношение типа 100/1 — это всё равно не будет доказательством того, что орёл в 100 раз вероятнее решки. «По математике» это вообще ничего не будет означать — случайность, если же рассмотреть «физику» процесса, то это может быть намёком на то, что построенная математическая модель (идеально симметричная монета) не верна — и попытаться уточнить модель. Потом вероятность будет снова рассчитываться «по модели».
Главная ошибка автора статьи: вероятность невозможно измерить, а он решил, что измерил.
+1
Согласно определению Лапласа, мерой вероятности называется дробь, числитель которой есть число всех благоприятных случаев, а знаменатель — число всех равновозможных случаев.
С практической точки зрения, меня это определение устраивает полностью.
С практической точки зрения, меня это определение устраивает полностью.
-2
Ну да, согласно этому определению вероятность можно рассчитать, определение прямо указывает, как именно. Только оно о вероятностях исходов, а вы намерили частоты исходов. Частота (по идее) приближается к вероятности этого исхода при увеличении количества испытаний, но не стремится к ней и не тождественна ей.
В общем, вам читать здесь.
В общем, вам читать здесь.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Bit-squatting – посмеялись и забыли