Комментарии 287
Подождите, но ведь это же не бомба, а нормальный файл архива..
Бомба - это байт этак 50..500, который за счёт нетривиальной модификации заголовков и потоков сжатых данных заставляет распаковщик вести себя необычно и раз за разом обрабатывать одни и те же данные (причём, возможно, в разные моменты времени одни и те же байты даже могут декодироваться в разных контекстах), или же за счёт других модификаций сделать например так, что в архиве окажется большое число одинаковых архивчиков поменьше (каждый из которых может в том числе и являться бомбочкой поменьше) - это хорошо работает если бот применяет рекурсивную распаковку вложенных архивов..
Если удастся подобрать/сделать именно zip-бомбу под вашу задачу - можно сэкономить на исходящем трафике.
Но описанный в статье вариант имхо более рабочий, потому что от таких бомб, насколько я знаю, уже есть защита во всех разархиваторах.
Здесь идёт речь о дефолтном декодировании gzip при HTTP запросах, никакой рекурсивной распаковки архива здесь нет)
Да не требуется каких-то хакерских нетривиальных модификаций. Просто процедурно сгенерировать архив, вписав в него инструкции - символ "А" повторяется 100500 миллиардов раз, занимает 5 байт. И для этого не нужно генерировать последовательность символов "А" размером в петабайты, и потом по настоящему ее архивировать.
Описанный в статье вариант — действительно zip-бомба. Это описание я помню ещё из 90-х, наверное.
Но тогда же я помню как на моей памяти появлялись патчи во всех библиотеках распаковки, которые предотвращают распаковку файлов с огромными коэффициентами сжатия.
Эта техника точно работает до сих пор? Эти файлы распаковываются?
В gzip'е размер файла только в конце написан (и то mod 2^32, можно подогнать размер, чтобы выглядело небольшим), а делающая запрос библиотека очень может быть что начнет распаковку еще не получив всех данных.
Гениально! но есть пару моментов, 1) риск для легитимных пользователей если эвристика для выявления вредоносных запросов даст сбой, zip-бомба может быть отправлена обычному пользователю или легитимному краулеру , что может вызвать проблемы с индексацией сайта или даже судебные разбирательства. 2) потенциальный вред для сервера хотя затраты на передачу файла минимальны, в случае массового обращения ботовсервер может столкнуться с повышенной нагрузкой из-за многократной отправки zip-бомб.
судебные разбирательства.
Мой сервер, какие хочу файлы такие и храню. Какие тут могут быть претензии ?
Никакие бро!
За хранение "child porn" и других подобных материалов вы получите не только "fbi open the door", но и реальный тюремный срок.
Любые материалы, которые находятся на вашем Web-сервере, будут не только храниться, но и распространяться. Так что ещё и за распространение срок получите.
Да, согласен. Но я не слышал чтобы зип архивы с нулями были запрещены законодательством. Какие могут быть потенциальные проблемы если мой сервер их отдает в ответ на запросы ?
С пустой табличкой тоже можно ходить по улице?
Это другое. Оппозиционер с пустой табличкой идущий по улице- это вполне таки выссказвание о котором могут догадаться зрители. Одиночный пикет скажут проводит. Ещё и жестом критикуя власть за цензуру
Не в фашистском государстве - да, можно.
Вообще зависит от законодательства. При желании это можно подтянуть под нарушение работы сторонних сервисов - тем более это оно и есть. Вы же не думаете что DoS атаки легальны? А CnC сайты для ботнетов?
А вы ставите знак равно между возвратом больших данных в ответ на запрос клиента и CnC ботнетом или DoS атакой?
Может тогда начать подавать в суд если жава-скрпт на сайте выдал ошибку, или сохранил свой кеш на моем диске ?
А вы ставите знак равно между возвратом больших данных в ответ на запрос клиента и CnC ботнетом или DoS атакой?
Zip бомба это один из методов DoS атак, которая собственно выше по тексту и производится. Подскажите почему Вы так уверены что нарушение работы стороннего сервиса легально? И почему нельзя провести очевидную параллель с открытой публикацией контента (CnC сервер) который сам по себе не несет вреда, просто содержит JSON конфиг для ботнета. Он легитимный? А почему же их тогда блокируют?
нарушение работы стороннего сервиса, это когда я сам пришёл на сторонний сервис и сломал его. а когда сервис приходит ко мне, получает ответ и не в состоянии его переварить, я то тут при чём?
Вася забыл закрыть дверь на ключ. она открыта Злоумышленик зашел к нему домой, но ему на ногу упала гиря.. Должен ли вася отвечать, что человек которого он не приглашал в дом пострадал?
Должен отвечать или не должен, может решить только (исключительно!) суд, если дело дойдет до суда.
Как один из 100500 упоротых вариантов развития событий, суд может (но не обязан) принять в качестве железобетонного доказательства вины Васи — зафиксированное и предоставленное следствием сообщение Васи на форуме с тематикой "1000 и 1 ловушка для домушников", где он только поздоровался с форумчанами, или вообще сам факт регистрации на подобном форуме.
Если до суда дело не дойдет или вина Васи судом не установлена (сиречь нет состава преступления), то отвечать Вася точно не будет (даже если он специально эту гирю подготовил для ноги злоумышленника).
Как только Вася признается что СПЕЦИАЛЬНО сделал так чтобы гиря падала на каждого входящего (см. статью) то по нашему (и не только) законодательству Вася сядет. И это абсолютно правильно, так как есть умысел на причинение вреда. И то что одна сторона совершает правонарушение НИКАК не означает что вам тоже можно нарушать. Странно что до взрослых и типа дееспособных людей это никак не доходит.
P.S. Ну и вообще причины почему в мире так мало castle doctrine это вовсе не заговор властей. Давайте я дополню ваш пример - Злоумышленник в полиции говорит что он дал Васе денег в долг и Вася сильно просрочил. А тут связался, сказал что он (Вася) в отъезде но долг оставил на столе, потому дверь и не запер. И что пусть Злоумышленник приходит и заберет свои деньги. И да, гиря должна была упасть на голову, на ногу - это Злоумышленнику сильно повезло. Вам не кажется что ваш пример становится сильно шатким?
Как только Вася признается что СПЕЦИАЛЬНО сделал так чтобы гиря падала на каждого входящего (см. статью) то по нашему (и не только) законодательству Вася сядет.
Следует уточнить, не обязательно сядет, а понесет наказание — предположительно, под эти действия можно назначить одно или несколько из 7 видов, указанных в ст. 44 УК РФ (начиная штрафом, заканчивая лишением свободы на определенный срок), в зависимости от квалификации и состава преступления.
Всё это разумеется, если будут установлены и учтены все обстоятельства, в т.ч. вес гири, фактическая степень тяжести вреда, какой был умысел, т.е. какой вред здоровью хотел причинить (незначительный, легкий, средней тяжести, тяжкий), на какую часть тела хотел эту гирю сбросить т.д.
Согласен, и дополню: этот условный Вася, если подвесил таким образом гирю, представляет общественную опасность.
Предположим, из его квартиры повалил дым/прорвало трубу/кто-то вызвал врачей, ошибившись, на его адрес. В итоге пострадает не злоумышленник, а вполне себе добросовестный слесарь/врач/полицейский.
Судя по размерам ботнетов, эта вся красота хорошо работает лишь на бумаге.
Должен ли вася отвечать, что человек которого он не приглашал в дом пострадал?
У нас в Беларуси был случай, когда бомжи зимой влезли на дачу, нашли бутылку метилового спирта, распили и умерли. Хозяина дачи, обнаружившего их весной - судили за непредумышленное убийство. Поскольку на бутылке не было надписи "Яд!".
непредумышленное убийство.
Если есть труп - кто то сядет.
А не должен был хозяин дачи предусмотреть появление выходцев из Кореи?
Или из Китая?
Чтобы и на их языке написать "яд"?
А ножи/топоры/пилы/лопаты/вилы/etc - не следует убирать в сейф?
Формальное правосудие - имитировало свою работу.
После люстрации их участь (формальных гос.служащих) незавидна.
Причём - не только по подобным делам.
Так-то, кислород — тоже яд. Очень опасное вещество.
Вспомнилось, на уголовном праве разбирали такой случай:
Владелец авто боялся угона и оставил в бардачке бутылку из-под водки с разбавленным метанолом. Машину угнали. На следующий день кто-то из угонщиков попал в больницу, кто-то на кладбище. Владельца осудили за причинение смерти по неосторожности. Машину вернули.
И он прямо на суде рассказывал, что боялся угона и потому оставил? Т.е. сам себе, как говорят в народе, статью с пола поднял?
Вообще, в подобных кейсах, кмк, гипотетически логично вот такое пояснение - я у себя дома/на своей собственности могу хранить что угодно и как угодно (без нарушения законодательства и тп, очевидно). Я не предполагаю, что кто-то придет ко мне домой без спроса и будет брать что-то без спроса, поэтому оставляю что хочу и где хочу, если это не запрещено законом.
я у себя дома/на своей собственности могу хранить что угодно и как угодно (без нарушения законодательства и тп, очевидно)
Нет не можете. Вы должны учитывать, как это будет воспринято окружающими (даже если они нарушили закон). Например, если вы подведете в квартире ток к дверным ручкам, залезет вор, прикоснется к ручке и погибнет, вы сядете. Такая вот неочевидная штука.
Вы должны учитывать, как это будет воспринято окружающими
Это где-то описано в законах?
если вы подведете в квартире ток к дверным ручкам
Если это на входной двери - то очевидно, что ручки может коснуться посторонний человек, соотв. так делать нельзя.
Такого рода вещи не прописываются в законах прямо, но следуют из разъяснений высших судов по поводу ст. 25-26 УК РФ. В данном случае имеется достаточный уровень причиннно-следственной связи между действиями лица и их последствиями.
> Если это на входной двери
Нет, я имею в виду ручки внутренних дверей.
В данном случае имеется достаточный уровень причиннно-следственной связи между действиями лица и их последствиями.
Мне кажется тут корректнее говорить о высказанных намерениях (опасался что ограбят, сделал ловушку) и очевидных свойствах сделанного (например, поставил и замаскировал капкан в жилом помещении).
Нет, я имею в виду ручки внутренних дверей.
См. выше.
но следуют из разъяснений высших судов по поводу ст. 25-26 УК РФ
Я не знаю где это посмотреть и сходу не нашел. Можете подсказать по конкретно обсуждаемому вопросу?
Логика такая. Состав преступления формирует объект, субъект, объективная и суюъективная сторона.
Объект есть (труп). Объективная сторона (причинно-следственная сторона тоже). Если вам есть 16, значит, и субъект имеется. Остается субъективная сторона. Если вы подключили ток к дверной ручке, значит, понимали, что кто-то может от этого пострадать. Соответственно, есть 1) причинно-следственная связь между вашими действиями и последствиями и 2) есть ваше отношение к ним (косвенный умысел / неосторожность). Есть состав преступления.
Вопрос -- а почему не учитывается, что вор залез в вашу квартиру, чтобы совершить преступление. Это может подпадать под необходимую оборону, но в рамки необходимой обороны это не вписывается (как минимум ,потому что он залез для кражи, а вы его убили). Соответственно, будет либо превышение пределов необходимой обороны, либо причинение смерти по неосторожности, либо убийство с косвенным умыслом (в зависимости от обстоятельств).
Почитайте про субъективную сторону преступления (умысел, неосторожность) и про необходимую оборону. Вот напр. учебник Комиссарова открыл сходу:
> Общественно опасное посягательство [при необходимой обороне] должно быть наличным. Наличность посягательства означает его определенные временные рамки: посягательство уже началось, либо существует реальная угроза того, что оно вот-вот начнется, либо оно еще не завершилось. Разумеется, ждать "первого удара" не следует, однако превентивная, упреждающая защита неправомерна.
Если опасность угрожает лишь в будущем, можно прибегнуть к иным способам защиты, обратившись, например, в правоохранительные органы, поменяв дверь в квартире или дверной замок и т.д., - в зависимости от ситуации. Наличность посягательства отсутствует в случаях превентивного причинения вреда, когда, например, в дачно-садовых домиках устанавливают самострелы, капканы, оставляют яд в холодильнике с целью обезопасить себя и свое имущество от похитителей.
Если вы подключили ток к дверной ручке, значит, понимали, что кто-то может от этого пострадать.
Если я внутри свой квартиры так сделал - то я понимаю, что только я лично (в общем случае - проживающие там же) могу пострадать.
В рамки необходимой обороны
Какой обороны? Повторюсь - я в своей квартире, а не в замке под осадой.
Общественно опасное посягательство [при необходимой обороне]должно быть наличным.
И снова речь про оборону. Я нахожусь у себя дома и не предполагаю что на меня кто-то там нападет.
я понимаю, что только я лично (в общем случае - проживающие там же) могу пострадать.
Это не имеет значения. Если бы кто-то из проживающих пострадал, ответственность была той же.
Какой обороны? Повторюсь - я в своей квартире
Речь про преступника, который залез к вам в дом, поэтому я и рассматриваю фактор необходимой обороны (от преступного посягательства). Если к вам бы соседка зашла за солью и погибла, то и про оборону речи не было бы, сразу "причинение смерти по неосторожности".
Если бы кто-то из проживающих пострадал, ответственность была той же.
Я бы сказал, что ответственность, очевидно, была бы, но, возможно, разная. Есть разница между умышленным действием и неосторожностью.
Но опять же, таки, никто никаким законом мне не запрещает провести провода к ручке двери на своей собственной территории. Может быть я электрогальваникой балуюсь, а снимать ручки лень. А доступа у посторонних к этой ручке быть не должно (и я не должен предполагать "а вдруг залезет вор и случайно схватится за неё").
Но опять же, таки, никто никаким законом мне не запрещает провести провода к ручке двери на своей собственной территории. Может быть я электрогальваникой балуюсь, а снимать ручки лень. А доступа у посторонних к этой ручке быть не должно.
Как юрист с большим опытом уверяю вас: это не так работает. Но вы можете оставаться при своем мнении, все аргументы я уже привел.
Как юрист с большим опытом
Вы меня конечно извините, но написать на хабре я тоже много чего могу =)
Как это будет работать на самом деле в данном конкретном случае зависит, по моим ощущениям, от много чего, возможно даже от ретроградного Меркурия. Я же просто описал тут свои размышления, а не судебную практику или какие-то призывы к действию.
Как "любая достаточно развитая технология неотличима от магии" -- так и любая сложная юридическая концепция может быть со сторны неотличима от ретроградного Меркурия :)
Дуракам закон не писан, есть такая поговорочка.
Упертость и незнание не освобождают от ответственности.
Про размышления читать забавно, дурень думкой богатеет, но тут явно мимо, правовая безграмотность зашкаливает.
Убийство по неосторожности потому и есть ПО НЕ ОСТОРОЖНОСТИ и это самая легкая форма в отличие от явной, например метанол в бутылке из-под воды.
А неосторожность - это куча всякого, за что можно присесть и это правильно. Ни в одном законе не сказано, что нельзя вешать на дерево гирю, но если она упадёт и кого-то прибьет, тут вы и сядете. Ибо нефиг. Кирпич с балкона прикольно падает, или даже случайно уроненная банка с огурцами, а если... то да, статья, ибо нефиг. И такого можно наковырять уйму всякого.
А то, что всякие хитровымудренные ловушки делаются в частной собственности и ничего за это не будет - это сказки из детского кинца "Один дома". На практике еще как будет в самом большинстве стран мира.
Ключевой момент, вы за кражу или простое проникновение убиваете человека, что явно перебор.
А так нельзя, но если кажется, то можно, а потом уже объяснят, почему нельзя
По идее, тогда государство обязано возмещать вред, причиненный грабителем, или, как вариант, выплачивать за гражданина страховку, которая покроет убытки. Собственник обязан сам заботиться о своей собственности, однако государство мешает ему это делать, а значит, может выступать если не как подельник, то как субъект, несущий солидарную ответственность
Государство не мешает соразмерно заботиться о своем имуществе -- например, показать дом на охрану или застраховать его. Тут дело в другом. Несоразмерные действия (положить в бардачок отравленную водку, закопать мины вокруг дома, вырыть ров с кроводилами и т.п.) приведут к тому, что в обмен на посягательство на имущество (кража) вы посягнете на жизнь преступника, что будет несоразмерным вредом.
ждать "первого удара" не следует, однако превентивная, упреждающая защита неправомерна.
Взаиоисключающие параграфы детектед.
А если дома сломался выключатель света, бьёт током, но пока что нет времени его починить, и вот вор влез и ударился этим током? Виноват в том, что не нашёл времени на починку?
В России нет. В странах общего права есть, к примеру, доктрина attractive nuisance, когда владельца имущества могут осудить, если имущество в опасном состоянии, туда кто-то залез и получил травму.
Я не предполагаю, что кто-то придет ко мне домой без спроса и будет брать что-то без спроса
Вы сейчас привели пример преступной небрежности — одной из форм неосторожности по ч.3 ст. 26 УК РФ, согласно которой лицо не предвидело возможности наступления общественно опасных последствий своих действий (бездействия), хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть эти последствия.
Мы не предполагаем, что в наш автомобиль, начиненный отравой может использовать другое лицо (напр., приятелю дали покататься). Хотя могли предвидеть, что машины угоняют, водку пьют, смесью водки с метанолом травятся.
Хотя могли предвидеть
Извините, я не обладаю даром прорицателя. И я предполагаю, что органы правопорядка работают свою работу и предотвращают подобные действия.
Извините, я не обладаю даром прорицателя. И я предполагаю, что органы правопорядка работают свою работу и предотвращают подобные действия.
Рекомендую не говорить подобное на допросе, а молчать, ссылаясь на ч.1 ст. 51 Конституции РФ, ну и ждать квалифицированной помощи от защитника, желательно платного :)
Воришка лез через забор, поцарапаться об гвоздь, столбняк , гроб, кладбище. Какую сову на этот глобус можно натянуть ? ;)
Это интернет — здесь кого угодно на что угодно можно натягивать. :)
Выше я писал, что вину устанавливает суд, он же назначает наказание. Нет суда или нет доказательств вины, следовательно, нет приговора и наказания.
В случае с отравленной водкой в бардачке, есть конкретная практика, т.е. суд был, виновность установлена.
Ну, раз просите натянуть, давайте натянем.
Только давайте поменяем воришку на соседскую маленькую девочку, решившую перебраться через ваш забор, чтобы забрать убежавшего котенка. Суть не поменяется, а то что-то легко и непринужденно мы тут жизнями людей жонглируем и об ответственности думать не хотим.
Предположим, ваш случай дошел волшебным образом до суда, и судом, на основании чёрт-пойми-как собранных и неопровержимых доказательств, установлена причинно-следственная связь между вашим бездействием (не загнули гвоздь, об который можно поцарапаться) и смертью девочки (поцарапалась о не загнутый гвоздь и почила в Бозе от столбняка на десятый день). Тут можно рассматривать как небрежность и получить двушечку по ч.1 ст. 109 УК РФ (шутка, дадут меньше и даже не реальный срок, хотя что бы сказали убитые горем соседи на этот приговор?), что я указал в комменте, на который вы ответили.
Или малая напоролась на гвоздь, выбив кузнечным молотом доску с вашего забора. Опять фэнтезийное следствие, сказочный суд, все дела. Такое можно рассматривать, как невиновное причинение вреда (казус, ч.1 ст. 28 УК РФ), т.е. не предвидим возможности наступления общественно опасных последствий от наших действий (сколотили забор так, что забор можно разломать) и по обстоятельствам дела не могли таких последствий предвидеть. За такое мы ответственности не несём.
Конечно нет. не надо заходить в чужие дома без приглашения и сохранишь здоровье, а может даже и жизнь. К сожалению наше законодательство с этим не согласно (
Zip бомба это один из методов DoS атак, которая собственно выше по тексту и производится.
Слово "Атака" подразумевает некое действие. Кто-то отправил запрос на чужой сервис и вот этот сервис атакован. Если же я на своем сервисе написал "если вы хакер выполните `rm -rf /*` являюсь ли я атакующим ? Тут атака такого же порядка, пользователь сам пришел, сам решил скачать некий файл, сам решил распаковать полученный архив. Более того архив даже не сломал ничего в системе, а просто честно распаковался ( если хватило времени и места на диске ). В чем же атака тогда? В том что чьи-то процессы вышли по таймауту и нехватке памяти?
Тогда является ли атакой публикации на стиме игры при запуске которой она у меня крешится? Уже могу подавать в суд что на моем Amd K6-II не запускается Baldur's Gate 3 ?
Слово "Атака" подразумевает некое действие.
Да, подразумевает. Давайте прочитаем вместе статью и сделаем вывод - производились ли действия для того чтобы вредоносный файл отсылался на сторонний сервис. Я эти действия вижу, а вы?
if
(ipIsBlackListed() || isMalicious()) { header("Content-Encoding: deflate, gzip"); header("Content-Length: "+ filesize(ZIP_BOMB_FILE_10G)); // 10 MB readfile(ZIP_BOMB_FILE_10G); exit;}
В том что чьи-то процессы вышли по таймауту и нехватке памяти?
Прочтите определение DoS. Можно несколько раз если считаете что отвалившийся процесс это не Denial-of-service.
Тогда является ли атакой публикации на стиме игры при запуске которой она у меня крешится?
Ну во-первых не сама игра а сторонний процесс который к ней обратился. Например explorer.exe. Угадаете с трех раз судьбу такого бинарника?
И почему нельзя провести очевидную параллель с открытой публикацией контента (CnC сервер) который сам по себе не несет вреда, просто содержит JSON конфиг для ботнета. Он легитимный? А почему же их тогда блокируют?
Ответьте пожалуйста на поставленный вопрос.
> И почему нельзя провести очевидную параллель с открытой > публикацией контента (CnC сервер) который сам по себе не > несет вреда, просто содержит JSON конфиг для ботнета. Он легитимный? А почему же их тогда блокируют?
Ответьте пожалуйста на поставленный вопрос.
(хз как в хабре делать двойное цитирование )
Потому что CnC сервер является частью системы ботнета. Как и будет им является nginx распространяющий малварь, при этом такой же nginx хостящий домашнюю страничку не будет им являться.
Зип файл который кто-то отдает в ответ на прямой запрос отдать данные на мой взгляд не должен бы считаться малварью или ДоСом. Я пример пример со Стимом, который тоже может вызвать отказ в обслуживании моего компьютера ( если например игра зависнет ). Должны ли мы теперь считать глючные или просто тяжелые игры малварью ?
производились ли действия для того чтобы вредоносный файл отсылался на сторонний сервис. Я эти действия вижу, а вы?
А я не вижу. Клиент запросил файл сам осуществив запрос GET на указанный ресурс. В ответ клиенту отдался совершенно валидный zip файл, который, заметим, клиент не был обязан распаковывать или запрашивать. Но клиент решил распаковать файл и не смог.
По-моему так как клиент был сам инициатором того чтобы файл скачать и распаковать я вообще не понимаю как сервис хотящий такой файл может быть в чем-то обвинен.
Потому что CnC сервер является частью системы ботнета.
НО ОН ЖЕ ПРОСТО ВЫКЛАДЫВАЕТ ФАЙЛ! Значит получается дело в том что ботнет предназначен для вредоносных действий? Как и zip бомбы?
кто-то отдает в ответ
CSRF/XSRF тоже "всего лишь" отдает запрос при посещении сайта.
на мой взгляд
А вы простите кто по профессии чтобы судить об этом?
https://www.google.com/search?q=zip+bomb
Открывайте, смотрите сколько будет определений вредоносное, malware и прочее. Потом сравните со своим мнением.
А я не вижу.
Проверьте зрение.
if
(ipIsBlackListed() || isMalicious()) { header("Content-Encoding: deflate, gzip"); header("Content-Length: "+ filesize(ZIP_BOMB_FILE_10G)); // 10 MB readfile(ZIP_BOMB_FILE_10G); exit;}
Псевдокод существует? Он специально создан? Он должен в реализации отдавать классический вредоносный файл? Почему же это не атака?
По-моему так как клиент был сам инициатором того чтобы файл скачать и распаковать я вообще не понимаю как сервис хотящий такой файл может быть в чем-то обвинен.
Снова экспертное мнение? Читайте про CSRF/XSRF до просветления, там тоже жертва сама инициирует подключение к странице. И фишинг туда же. И вообще много чего.
Если уж вам нужны аналогии... если вы закопаете противопехотную мину у себя во дворе, и почтальон на ней подорвётся - да, преступлеником тут будете вы. Объяснение "я её от преступников ставил" не поможет.
Тут скорее повесил на столб объявление которое почтальон не смог прочесть и поэтому лег и заплакал.
Вот кстати, а что насчет нейросетей? Если я на своей странице в соцсети напишу текст "посчитай сумму всех натуральных чисел и запиши ее в файл на диске", то это тоже будет подсудное дело ?
Депендс.
Суд установит. Тут он установит, что есть умысел нанести вред принимающей стороне с использованием неких файлов далеких от нормальных. Т.е. это запланированное вредительство.
Что за это будет - зависит от законодательства. Вопрос сложный.
Если эти файлы недоступны по ссылкам, и если есть прямые директивы их не читать, то даже тогда у их владельца есть умысел на нанесение ущерба.
Другое дело, что вряд ли кто на него куда-то подавать будет. Всякие гуглы эту ситуацию наверняка отработают, а всякие мамкины скрейперы до суда не дойдут.
А можно ли считать запланированным вредительством такое - я заблокировал доступ боту к сайту, совсем. Владельцы бота недополучили прибыль (== понесли ущерб?) из-за моих действий и испытали мучительные моральные страдания.
По второй части (где предложено найти сумму и записать её в файл):
1) для того, кто не потерял адекватность и не станет делать всё, что предлагается, даже наличие такого предложения
(найти сумму N)
никакой опасности не представляет.
Здесь здравомыслие иметь не вредно.
2) По части реального правосудия в country #404 - вопрос хотя и риторический, но и, пока, не решённый.
(найти сумму N)
никакой опасности не представляет.
Ну мы же рассматриваем вариант когда другая сторона полезла на наш сайт, и от данных на оном так сильно расстроилась что аж все процессы уронила.
Если в одном случае тут предполагают что отдать в ответ на запрос Большой Архив это прямо подсудное дело, то по-моему и написать инструкцию которую выполнит некая ЛЛМ и тоже крешнется это эквивалентная операция.
А кто сказал что участников - только два?
Например с Fediverse (Mastodon и прочие) возможен вариант когда пользователь постит ссылку у себя, затем куча других серверов по всему миру начнут эту ссылку дергать причем не имея ввиду ничего плохого?Фича это ActivityPub (другое дело что проблему с что по факту DDoS того сервера где ссылка может выходить - пытаются решать все же).
Ах да, аналогичная проблема есть с превьюшками которые могут нарушать законы локальные, это насколько помню обычно решают вообще ломанием федерации с серверами кто в существенно другой юрисдикции и правила различаются. Потому что находятся нехорошие люди кто этим злоупотребляют.
Если у входа висит явное предупреждение, которое трудно незаметить и неправильно истолковать, да и вход был на замке, то правосудие будет на стороне защищающегося. Иначе, это спрятанная ловушка с приманкой и намерением причинить вред.
А насколько оно должно быть заметным в случае вебсайта?
Если в заголовке каждого ответа HTTP отдается X-Warning: текст (посмотреть можно в консоли браузера) это явное предупреждение или нет?
А если при входе на сайте баннер (который случайно так сделан что любые самые базовые расширения блокировки рекламы - вырубят)?
А если просто надо чекбокс поставить что прочитали правила использования (ссылка рядом, там на 137-й странице есть)?
А если был один лишь замок?
Это не есть отягчающий фактор против "защищающегося"?
robots.xtx заполнил и послал их всех нахрен. Ты не обязан разрешать скан сайта роботами, а контент предоставляется только людям с браузерами - об этом можно написать в полиси.
а роботьі обязаньі строго исполнять robots.txt?
“This document specifies the rules originally defined by the ‘Robots Exclusion Protocol’ that crawlers are requested to honor when accessing URIs.”
requested to honor - просили?
Хм, да. Зато потом, получается, если уж внедряете robots.txt, то:
https://datatracker.ietf.org/doc/html/rfc9309#section-2.3.1.1
If the crawler successfully downloads the robots.txt file, the crawler MUST follow the parseable rules.
Нихрена они не соблюдают... LA на вебсервере хостинга вполне может подскочить с 10 до 200, когда очередной краулер очередного обучателя нейросети начинает сканить все сайты одновременно...
Они это делают добровольно. Цивилизованные работы (а вот попытки поправить стандарт добавить новое полезное - некоторые новостные агенства в ЕС пробовали с гуглом так бороться - вообще не очень вышло)
Вы еще скажите что Links это не браузер.
Ну и многие боты - прикидываются браузерами. Некоторые даже подводят типа легальное обоснование
Чтобы кого-то засудить, нужно самому быть чистым перед законом. Сложно представить сценарий, чтобы преступник, неоднократно предпринимавший попытки взломать чужой сайт, подал в суд на то, что его атаковала защита и уронила его абсолютно незаконный скрипт. В таком сценарии при любых раскладах самому преступнику прилетит куда больше, чем владельцу сайта.
Сложно представить сценарий, чтобы преступник, неоднократно предпринимавший попытки взломать чужой сайт, подал в суд
Чтобы кого-то засудить, нужно самому быть чистым перед законом.
Покажите пожалуйста пункты в законе которые этого требуют. Типа - подавать заявления на порчу имущества можно имея не более 10 штрафов за превышение скорости. Если что это лишение конституционных прав. Вы точно за это ратуете?
В таком сценарии при любых раскладах самому преступнику прилетит куда больше, чем владельцу сайта.
Что НИКАК не отменяет того что 1) "преступник" имеет полное право подать в суд 2) Суды будут рассматривать два технически независимых дела. И вот совсем не факт что второй участник не получит своего наказания, неважно большего или меньшего - совершил преступление - будь готов нести наказание. Давайте представим утрированный пример - вышли люди на несогласованный митинг. Это определенно нарушение закона, значит ли что полиция имеет право сразу же нарушать их права вплоть до открытия огня боевыми?
В России выход на митинг не есть нарушение закона, ибо Конституция, Статья 31: "Граждане Российской Федерации имеют право собираться мирно, без оружия, проводить собрания, митинги и демонстрации, шествия и пикетирование."
Насчёт участия в якобы несогласованном
(хотя и данные о предстоящем митинге - нормально сообщались организатором в МВД РФ)
антифашистском митинге:
да, полиция задерживала.
Но и, в процессе оформления материалов в суд - около 10% задержанных были отпущены
(да, с занесением на год в список подвергнутых административному взысканию,
хотя фактически такового и небыло).
Потому как они (задержанные) сами смогут, опираясь на закон, доказать незаконность и предпринятого задержания.
I'm one of 'em.
А те, кто попадал в суд, были оштрафованы.
За повышенную гражданскую сознательность, которую они посмели проявить,
приняв участие в митинге.
Это теоретически.
А кроме теории - есть и практика применения законов.
тогда надо прописать в лицензионном соглашении запрет работы ботов помимо тех, что нужны автору.
Нет договоренности о информационном взаимодействии? тогда зачем инициировали соединение и лезли на мой сервис
https://ru.wikipedia.org/wiki/Незаконное_число
Некоторые варианты запретов всё же есть
Ага, за хранение нулей срок 25 лет
Майн Кампф можете хранить на своем сервере?
А цп?
А представьте хабр эффект - все нагенерили бомб и выложили роботам. Через час не работает гугль, чат жипити и половина интернета :)
Люди выйдут на улицы, которые знают, как надо управлять миром, 400. 000 обученных танкистов из Ворлд оф Тэнкс; 150. 000 подготовленных орков и эльфов из Варкрафта; 300. 000 грамотных стратегов из Дота 2.
400. 000 обученных танкистов из Ворлд оф Тэнкс; 150. 000 подготовленных орков и эльфов из Варкрафта; 300. 000 грамотных стратегов из Дота 2
Они все разнесут. Они всю пустыню пройдут за один час! Они взорвут все твои эсминцы, всех твоих журналистов, дипломатов. Джордж, ты ковбой! Ты остановись, ты кончай, ты патроны спрячь подальше на склад и забудь про своего папу!
А хойщиков не упомянул потому что они не выйдут?
А проклятый виндовс -- удаляли, черт возьми!
Почтовые антивирусы ещё в начале 200х уже умели детектить и обходить zip-бомбы. Неужели 25 лет и все коту под пёс, секрет умножения на compress ratio забыт?
Там не один такой секрет. Творческих людей это не остановит. Вот прекрасная статья на хабре, а по "zip-бомба" на том же хабре ищется много великолепных историй и ещё более увлекательных комментариев.
вырасли новые дети, которые снова "всё знают" и будут снова всему учиться.
Некоторые все ещё продолжаю кушать и rarjpegи. В мире, где каждый день рождается по одному js фреймворку кажется не сложно упустить какие-то вещи.
Напомните последний родившийся js-фреймворк. Шутка устарела года так с 2015. А это целых 10 лет...
Да ну? Ну, вот этот, например за последние 20 дней скакнул с 0.0.5 по 3.0.8, опубликованную несколько часов назад. Тут можете поискать что-то посвежее и почти наверняка найдёте что-то совершенно новорождённое. Так что это даже и не шутка. Уровень секурности решений при такой активности и таком количеств будет неприменно снижаться согласно закону больших чисел. Количество экспертов, которые могли бы занимались аудитом так быстро не растёт, так что максимум чего можно ожидать - некоторую автоматизацию детектирования угроз и интенсивное тестирование, но пока до такого уровня мало кто в принципе дорос.
Так никто же не запрещает выкладывать в интернет очередную поделку будь то на жс или джаве. Речь в шутке всё-таки больше о фреймворках, которыми больше 1% разработчиков пользуются. Вот на жс как раз лет 10-15 назад погоня за хайповыми фреймворками была очень популярна.
В статье описана не бомба а обычный архив с большим коэффициентом сжатия.
То есть вирус плюс тонна нулей просто будет пропущено без проверки?
Боты должны работать очень быстро, иначе в них нет смысла. А если прикрутить к боту антивирь, он будет работать слишком медленно.
А как вы решаете вопрос с тем, что ваш IP адрес попалает в blacklist, когда боты, предназначенные для поиска вредоносного ПО на сайтах находят ваш архив?
Вот небольшой кусочек из того что каждый день выгребается из access.log nginx'а на сервере, который слегка доступен в интернет.
Если по любому из этих адресов отдавать zip-бомбу, то вряд ли какие-то легитимные боты его найдут.
access.log.png

Поясните колхознику, зачем легитимный бот пытается чего то от .git ? Тем, кто лазит по скрытым файлам, отдавать zip бомбу нормально. Только бомба должна начинаться с <html> и содержать 1 Гб пробелов ;) и в нутре редирект на следующую бомбу.
если идет обращение к /.env файлу то можно и просто текст с нулями вернуть. А поповоду редиректа на следующую бомбу, можете пояснить или привести пример скрипта, а то не совсем понял как это реализовать.
Вот да, хороший пример. Ещё веселее - найти страничку автора:
About
A Security Researcher who loves to fight makefiles & gdb backtraces.
Interested in Browsers, language interepreters, sandboxes, OS Development. kernel pwn enthusiast.
поповоду редиректа на следующую бомбу
ну у вас есть .env и .env1
Кто спрашивает .env - получает гигабайт пробелов и редирект на .env1 и наоборот. Пусть развлекается ;)
ИИ - индексаторы например.
Ко мне тут открытый всему миру git.mydomain.com где лежат зеркала некоторых репозиториев с гитхаба стучатся например некий meta-externalagent/1.1 (+https://developers.facebook.com/docs/sharing/webmasters/crawler) или или там AmazonBot и прочием semrush, примерно по запросу в секунду.
Я не вижу нужды блокировать.
как то давно пробовал такое, отдавал "бомбу" всем, кто запрашивал /.env /.git /vendor *.json /wp-login.php
но китайцев с ботами всё равно больше, чем байт в бомбе в распакованном виде
Вы мне напоминаете легендарных владельцев дачи, которые специально оставили отравленную еду на столе для воров, а потом долго удивлялись в колонии, за что срок дали.
Не уверен, где Вы располагаете сайт, но как пример, https://www.reddit.com/r/programming/comments/evntaa/us_court_fully_legalized_website_scraping_and/ - верховный суд США не просто легализовал скраппинг, а еще и запретил намеренно препятствовать скрапиингу. И это не беря в расчет, что zip бомбы могут нанести очень серьезный ущерб пользователям, у которых может закончиться место на диске.
Одно дело повесить замок на амбар, другое дело подвести к нему еще и электричество, чтобы взявшегося за замок убило током. Хотите - можете банить по айпишнику, но я бы на вашем месте проконсультировался с юристом, как законодательство вашей страны относится к таким трюкам и на какие штрафы рискуете попасть.
Вы мне напоминаете
Это перевод же. Оригинального автора тут нет.
Но да: его сервер смотрит в интернет, его порт открыт для всего мира, значит подключаться может кто угодно. В robots.txt не прописано, что не стоит заходить на /.git . Но при этом сервер намеренно отправляет чьим-то скриптам вредную нагрузку с прямой осознанностью для чего это. Это всё уже определенно деструктивные действия.
Это всё серая зона. Хороший адвокат вполне сможет это и наоборот повернуть.
На моём сервере может лежать zip-файл с моими стихами, а может и с моими экспериментами по упаковке файлов. Злой умысел? Нет, это просто файл. Прямых ссылок на него нигде нет, я его не собираюсь распространять явно, просто сам скачиваю иногда.
Кто-то пришёл и начал создавать нагрузку на мой сайт, используя ресурсы моего сервера и замедляя его работу? Хмм, господин судья.. Вот тут заключение эксперта что паттерн перебора адресов соответствует профилю работы известной ботнет-сети..
Хороший адвокат вполне сможет это и наоборот повернуть
Хорошему адвокату гораздо тяжелее будет доказать отсутствие злого умысла, чем даже слабому адвокату доказывать наличие злого умысла, когда файл по какой-то причине называется так, как его ищут тулзы, например сканирующие уязвимости.
Дело не в том что "я просто тут смешал какие-то химикаты и получилась взрывчатое вещество. оно бы само никому не навредило бы, если бы его никто не трогал". А в том, что ваш конкретный сервер как-то кому-то вредит. То, что это произошло чисто случайно - вот это и нужно будет доказывать. И если мы сейчас говорим про разборки в суде, значит наступила ситуация, когда конкретные скрипты нанесли какой-то конкретный вред кому-то, и этот кто-то на вас подаёт в суд. А значит, это вам теперь нужно рассказать и показать как так произошло, и что это произошло чисто случайно, без злого умысла.
Злой умысел? Нет, это просто файл. Прямых ссылок на него нигде нет,
А если по такой же логике вы просто у себя разместите некий C&C сервер? Прямых ссылок же нет. Никто просто так на него не ходит. И вообще кому какое дело чего вы там у себя хостите! Люди (кому надо) сами подключаются и что-то там передают. Сам ваш сервер ведь ни к кому сам не подключается, ведь так? И вообще лично вы никакие тачки лично не заражали! Какой такой злой умысел? Нет, я же просто какую-то прогу из интернета скачал и запустил, а там биты байты сами что-то делают. /сарказм.
Вот тут заключение эксперта что паттерн перебора адресов соответствует профилю работы известной ботнет-сети..
Что очень даже выдаст в вас явное наличие злого умысла - смотрите, скрипт действительно реагирует и настроен на реакцию на некую ботнет-сеть (см. заключение эксперта), значит его специально так настраивали, значит действительно был умысел навредить кому-то - вроде бы целью якобы должна была быть ботнет-сеть, а оказались поломанными скрипты какой-то компании, которая лишь хотела проверить некие серверы на опасность(безопасность).
Но при этом сервер намеренно отправляет чьим-то скриптам вредную нагрузку с прямой осознанностью для чего это.
А если я так своих ботов тестирую? А в ToS и robots.txt я явно указал, что не рад никаким ботам? Зачем вы нарушаете запрет, с какой целью?
как законодательство вашей страны относится к таким трюкам
Законодательство всех стран в мире. А то мало ли, может где-то редирект запрещено делать.
При этом, вломившегося в дом грабителя незапрещено застрелить.
иногда запрещено
Рекомендую все же почитать законодательство по месту проживания, чтобы потом не удивляться на суде). Даже в США право крепости действует отнюдь не во всех штатах. В том же Нью-Йорке, если к вам вломился грабитель, ЕМНИП, и вы его застрелите, на суде вас спросят "А почему вы не убежали?". Там застрелить можно, только если грабитель реально перекрыл вам пути отхода и угрожает вашей жизни. Иначе, если убежать можно, до конца жизни адвокату платить будете.
грабителя незапрещено застрелить.
До сих пор не понимаю, почему считается плохо оставить отравленную водку.
Потому что Вы её оставляете с чётким умыслом - убить человека. Всё просто. И здесь нет никаких смягчающих факторов, никакой самообороны. В нашей стране считается, что человеческая жизнь важнее, чем чья-то собственность и Вы не имеете права просто так убить человека, который просто оказался у Вас на участке и не угрожал ничем и никому.
Как это не угрожал никому и ничему?
Боюсь что ваши оппоненты в этом споре более правы чем вы. Я лично понимаю ваше негодование, но тут вопрос в соразмерности "наказания".
Одно дело если вы храните, например, крысиный яд в бутылке из-под водки в ящике под раковиной. И другое - когда вы налили его в бутылку и оставили на столе, поставив ещё рядом баночку огурцов. Вы всегда так делаете? Сможете объяснить зачем вы так её оставили? Или, например, вы оставили капкан на даче зимой: к вам залез вор, попал в капкан, потерял ногу, не смог позвать на помощь и через сутки умер в мучениях. Если к вам залез грабитель, а вы его застрелили - вы виноваты, если только не докажете, что ваша жизнь была в опасности и он за вами полчаса бегал по дому с ножом. Да, человеческая жизнь априори ценится выше, чем ваши бриллианты.
Чтобы не было самосуда, государство берёт функцию суда и наказания на себя. В разных государствах есть разные допущения на этот счёт, но в целом смысл в этом.
Читал как-то специальное разъяснение юриста как раз по поводу мер противодействия дачным/квартирным воришкам (у нас в семье лет 25 назад просто каждую зиму два-три раза залезали на дачу, дачный массив рядом с деревней, ну и понятно). В общем, капканы, иные ловушки, а также бутылки с отравленным спиртным - "турма сидеть", поскольку единственное (это важно) предназначение всего этого добра - причинение вреда здоровью/смерти, соответственно, у вас был умысел на совершение означенного в отношении неопределенных лиц. А вот собака, даже бойцовой породы, на участке или в квартире - пожалуйста. Даже если она загрызет проникшего, поскольку это живое существо со своей волей, может укусить, может не укусить и содержите вы ее не для травли людей, а из любви к животным. Отвечаете вы за нее только в том смысле, что в общественном месте она должна быть в наморднике/на поводке, а ваша квартира/участок общественным местом не являются.
Если к вам залез грабитель, а вы его застрелили - вы виноваты, если только не докажете, что ваша жизнь была в опасности и он за вами полчаса бегал по дому с ножом. Да, человеческая жизнь априори ценится выше, чем ваши бриллианты.
Залезая к вам в дом, грабитель уже принял решение, что убьет вас, если встретит. Вы можете повлиять только на то, кто умрет: он или вы.
Но для законодателей в соцгосударствах преступники это социально близкие элементы и законы защищают их, а не законопослушных граждан.
Залезая к вам в дом, грабитель уже принял решение, что убьет вас, если встретит.
Нет, это не так. Вы не можете знать этого наверняка. Если у него был пистолет и он на вас его направил, а вы, стоя в углу, из которого не убежать, в ответ в него выстрелили - возможно вам поверят в суде. Если же в окно ночью влез безоружный, а вы в него выстрелили просто так, чтобы он вазу не разбил - это превышение и убийство. Возможно где-то в Техасе или Афганистане законы и попроще, конечно.
Нет, это не так. Вы не можете знать этого наверняка. Если у него был пистолет и он на вас его направил, а вы, стоя в углу, из которого не убежать, в ответ в него выстрелили - возможно вам поверят в суде.
Когда убьют — тогда и приходите обороняйтесь, много раз уже это слышал.
Если же в окно ночью влез безоружный, а вы в него выстрелили просто так, чтобы он вазу не разбил - это превышение и убийство.
Может в стране эльфов ночью прекрасная видимость и люди лезут только с целью наносить добро. В реальности разумный человек, увидев что к нему ночью лезут в окно, предположит только, что его хотят убить или причинить вред, других разумных альтернатив нет.
Возможно где-то в Техасе или Афганистане законы и попроще, конечно.
Да, человеческая жизнь априори ценится выше, чем ваши бриллианты.
Ну так пусть ценит собственную жизнь и не ставит её под угрозу, залезая в чужой дом за чужими бриллиантами.
Было совершено осознанное действие: вылить водку, налить яд, поставить в заметное место. И умысел "Водка оставлена чтобы тот, кто залез выпил и помер" доказывается легко, и привет 105 статья.
Почему считается плохо умышленно убивать людей? Ну даже не знаю как на это ответить)
Это не люди, это грабители. И убивают они себя сами, пья то, что нельзя. Потому что чужое брать нельзя.
То есть "превышение пределов необходимой самообороны" для вас шутка какая-то?
А где тут самооборона?
«Итак, вы утверждаете, что непосредственная угроза жизни и здоровью вам от этих людей не исходила?»
Речь о том, что даже если непосредственно на вас напали, то закон не разрешает вам просто взять и убить нападающих без веской на то причины (явная угроза жизни, например). Что уж говорить о ворах на вашей даче в ваше отсутствие, чьи действия вашей жизни вообще никак не угрожали. Кстати, вы путаете кражу и грабёж, это вообще-то довольно разные квалификации состава преступления.
Это не люди, это грабители
В первую очередь это всё же люди. Объявлять преступником кого-либо и определять наказание имеет право только суд, но даже преступник остаётся человеком, которого просто так убить нельзя. Тем более, я сомневаюсь, что они действительно совершали открытое (грабёж), а не тайное (кража) хищение имущества.
И убивают они себя сами, пья то, что нельзя. Потому что чужое брать нельзя.
Это не будет иметь значения для следствия и обвинения. Был умысел налить в бутылку из-под водки яд? Был. С какой целью? Отравить грабителя? Тогда 105 статья — от 6 до 15 лет. «Хотел потравить крыс, но забыл на столе?» Тогда 109 — до 2 лет.
Был умысел налить в бутылку из-под водки яд?
Впервые вижу эту бутылку, может они ее с собой принесли.
Такое может прокатить. Но есть и реальный шанс провести несколько месяцев в СИЗО, а там, возможно, добровольно сознаться))
Впервые вижу эту бутылку, может они ее с собой принесли.
А вот тут на сцену выходит следователь. Который будет умело допрашивать. Большинство людей на допросе себя как-то выдадут. Следователь поймет ху из ху и пойдет копать доказательства. Начиная с пальчиков на бутылке до покупок предыдущей осенью, которые хранятся в чеках соседнего магазина.
А потом оп-па, и находит интересный комментарий на Хабре. Просто открыв профиль подозреваемого в изъятом на время следствия девайсе.
А вот тут на сцену выходит следователь. Который будет умело допрашивать.
Это, наверное, только в фильмах так.
А вот тут на сцену выходит следователь. Который будет умело допрашивать.
А где они все эти умелые следователи, когда воров ловить надо?
Эдак далеко пойти можно. Подросток в метро сиганул через вертушку без оплаты и тут турникет херакс отточенными лезвиями и ноги по колено тю-тю. А нефиг без оплаты лезть, заяц не человек, пусть без ног попрыгает. Бесплатно нельзя!
Фильм смотреть сядете пиратский, будьте осторожнее. Вдруг там защита стоит, кто пиратку зырит, глаза выкалывает
Чел, тебе вазу свою жалко больше, чем человеческую жизнь. Норм всё?
Никто в здравом уме не будет сильно убиваться по человеческой жизни того, кто полез, куда не звали, чтобы взять то, что ему брать не разрешали. Никто, кроме совсем уж упоротых толстовцев, да и из тех 99% будут это делать только в комментах в интернете и до первой собственной вазы.
Тогда и за слова можно калечить и убивать по такой логике. Ваза - что ваза. А вот слово ранит очень больно. Собственно, гости из южных республик примерно такой логикой и руководствуются.
Калечат и убивают, в принципе, за что угодно, если так принято в обществе. Попробуйте в соответствующей обстановке соответствующим тоном сказать, например, слова, что у вас бонба - и в Европе, и в лучших домах Филадельфии никого особо не удивит, если вас после этого оприходуют. А ещё буквально век-полтора назад и за куда более невинные выражения в высшем свете самых цивилизованных стран вас бы полагалось в частном порядке натурально зарезать (сохранились кинохроники последних европейских дуэлей, т. е. это даже не времена д'Артаньяна и кардинала Ришелье). А какие-нибудь бушмены в Калахари до сих пор живут родоплеменным строем и не имеют в своём общественном сознании таких понятий как "частная собственность" и "неприкосновенность жилища" и, вероятно, им даже не объяснишь, что значит "незаконно проник" и "украл вазу", чем это отличается от "зашёл-взял", у них все так делают. Не надо натягивать сову. В нашем обществе все отлично знают, что лезть в чужой дом нельзя и присваивать чужое нельзя. А если вдруг затесались такие, кто действительно не знают, то за ними полагается присмотр специально обученных людей, будь то родители, психиатры или антропологи.
Почему считается плохо умышленно убивать людей? Ну даже не знаю как на это ответить)
Ну это же передёргивание.
Если человек поставит отравленную водку в ВАШ шкаф, чтобы вы её нашли, заметили и выпили (наследство, месть, ревность, устранение свидетеля, конкуренция), он будет рад, если вы её выпьете. А если не выпьете, то огорчится и скажет: “Ugh, let's try something else”.
Если же человек поставит отравленную водку в СВОЙ шкаф, он будет рад, если вы пройдёте мимо своей дорогой. Собственно, отравленная водка в своём шкафу в долгосрочной перспективе отучает людей от воровства БЕЗ расходования жизней. Достаточно, чтобы просто боялись.
Так что, если какие-то юридические системы уравнивают эти две ситуации, это баг таких юридических систем. А если подумать, то не баг, а фича: власти боятся, что народ потравит сам себя, вот и защищают от самого себя.
И ещё. Я знал парня, который круглым сиротой в суровые девяностые воровал мясо, чтобы выжить с маленькой сестрёнкой на руках. И это не преувеличение. Вот так всё плохо было там, где он жил (Крайний Север). Но так-то, если разобраться, те, у кого он воровал мясо, тоже могли умереть от голода. Тоже ведь можно свалить всё в одну кучу, и начать шить 105-ю. Хоть тем, хоть другим. За невзламываемый замок, который мог бы убить двух детей, например.
В чем же передергивание?
Умысел отравить налицо. Были предприняты осознанные действия, чтобы в бутылку из-под водки налить яд. Почему или для чего отравить, свой шкаф или чужой, рад или не рад - это уже лирика. Это уже смягчающие или отягчающие обстоятельства.
Если вор умрет - то труп есть, умысел есть. складываем 2+2 и получаем от 6 до 15. То, что вор причинил вред имуществу никак не оправдывает гораздо более серьезного преступления - убийства.
И это не бага, а фича. В противном случае саморасправы стали бы нормой.
В таком случае, установка колючей проволоки на забор - умысел на насесение травм или убийство.
Нет, это точно также, как если на бутылке с ядом будет наклейка "яд".
В чем же передергивание?
Там хороший пример про невзламываемый замок. Поставил замок, который "простой прохожий с улицы" не смог взломать, но так увлёкся, что пропустил ночные заморозки и замёрз нафиг под дверью.
Умысел отравить налицо. Были предприняты осознанные действия, чтобы в бутылку из-под водки налить яд
Умысел воспрепятствовать проникновению налицо, были предприняты осознаные действия по установке замка и усилению двери.
А яд в бутылку налит не для убийства. Растворял стрихнин в первой попавшейся бутылке. Крысы замучили, падлы. Или крыс тоже нельзя? За крыс какая статья?
не оправдывает гораздо более серьезного преступления - убийства
А кто его убивал? Он сам себя убил.
У меня в комоде на даче верёвка лежит. Помидоры подвязываю. Специально подожил в комод. С умыслом на полвязываение помидоров. Если вор взял её и повесился, это тоже убийство?
В противном случае саморасправы стали бы нормой
Причём здесь саморасправы? Тут самовыпиливания.
Впрочем, о чем мы? - когда тупорылые алконавты несколько лет назад массово расстались со своими никчёмными жизнями, выпив средство для ванн, на котором было написано- "средство для ванн" и оно продавалось в отделе средств для ванн, против продавцов товаров для помывки были выдвинуты те же нелепые обвинения в массовых убийствах. Так что в этой законодательной системк возможно всё (например, ундецилионные штрафы и умышленное убийство для продавцов мыла). Пошёл прятать верёвку...
Передёргивание в том, что вы ссылаетесь на сложившуюся судебную практику, обосновывая своё моральное превосходство («…Ну даже не знаю как на это ответить)…»), вместо того, чтобы оценить ситуацию на основании разумных объяснений. Для сравнения, я, наоборот, критикую сложившуюся судебную практику, ссылаясь на разумные (с моей точки зрения) объяснения. Тут много пишут про «цивилизованные общества», но как эти общества перешли в нынешнее состояние из состояния, когда они били друг друга дубинами по голове или сжигали ведьм? А вот как: они КРИТИКОВАЛИ имеющиеся порядки, и стремились их улучшить, а не выводили на их основе мораль. Хотя, конечно, далеко не все, а лишь отдельные личности. Но именно благодаря им мы имеем то, что имеем.
Почему я не согласен, что «умысел отравить налицо», даже если наш суд так решает в 100% случаев? Потому, что я беру ситуацию, когда умысел действительно налицо, сравниваю, и вижу огромную разницу. Я же сравнил, когда шкаф ВАШ и СВОЙ. Не видите отличий? Хотя умысел может быть и со СВОИМ шкафом. Например, захочу я поманьячить, поставлю отравленную водку и специально открою двери, да ещё и повешу табличку: «Злой собаки нет». Тогда умысел будет. (Хотя его ещё надо будет доказать). А если я предпочитаю, чтобы никто внутрь не совался, а для этого надо, чтобы вероятность отравиться отпугивала, то это уже никакой не умысел.
По-хорошему, стоило бы ввести новый состав в уголовный закон. По аналогии с превышением самообороны. То есть, не квалифицировать это как умышленное убийство. Наказывать, конечно, но умеренно. Режим назначать мягче, а сроки меньше.
И я сразу написал, что это идеалистический взгляд. А практический взгляд состоит в том, что это риск вызвать волну самоотравлений, возможно, государство и придерживается нынешней упячной квалификации по соображениям минимизации общественного вреда.
а почему нет? В США убийство грабителя который в твой дом вломился- норма
Хотя вопрос этический:
1. аргумент гуманизма. И попытка оправдать вора- мол тяжелое детсва у него, пьющие родители, маленький iq, судимости с которым трудно трудоустроиться, не приучили к ценности труда. Так можно, в прочем и многих убийц морально оправдать- импульсивный человек. Не может себя контролировать
Оправдываем человека как объект, снимая ответсвеность как с субъекта
2. Интересы общества. И мне кажется, что общество (честных законопослушных людей) заинтересована в исключении из своего состава людей с антиобщественным поведением (в данном случае- воровства в квартирах).
Можно, в теории, совместить цели. профилактика преступности, перевоспитание. Но это сложно и дорого. В СССР было такое. с переменным успехом. В Скандинавии есть- (современный евро социализм).
В США убийство грабителя который в твой дом вломился- норма
Но есть нюанс...
Дегуманизация преступников заставляет законопослушных граждан забыть, что они и сами на такое способны.
Ну так, на секунду подумать.
Вот и вы тоже путаете грабёж и воровство. Когда вламываются при вас, у вас действительно может быть боязнь за свою жизнь. А когда без вас тайно проникают в ваш дом, то угрозы вашей жизни нет. Стратегия защиты "Я испугался этого громилу и, защищаясь, случайно убил его бутылкой с ядом" тут не прокатит.
В США убийство грабителя который в твой дом вломился- норма
Мопед не мой, но мне когда‑то рассказывали, что даже в штатах с «доктриной крепости» незаконно устраивать «смертельные ловушки» (death traps), частным случаем чего является бутылка отравленной водки. Уж там был у тебя умысел потравить воришек или был у тебя умысел потравить крыс — это будут решать суды и адвокаты. Но если решат, что первое — то убийство, тюрьма, или что там в каком штате полагается.
Тоже ведь можно свалить всё в одну кучу, и начать шить 105-ю
Только если те, у кого он украл мясо, действительно умерли бы из-за этого от голода.
Если говорить о сложившейся практике, вы, наверно, не видели, как часто в приговорах фигурирует ст. 30 УК РФ? Я не юрист, а просто испытываю естественно-научный интерес к криминальным субкультурам, ну и нахватался попутно кое-чего. Это очень, очень распространённая ситуация, когда судят по, например, сочетанию 30-158.
Так вот, при желании свалить всё в одну кучу ради победы в споре, можно было бы приплести 30-105. Чего, конечно, делать не надо ))
Было совершено осознанное действие: вылить водку, налить яд, поставить в заметное место.
Поэтому надо ставить бутылёк палёной водки!
«Ваша честь, я купил бутылёк на толкучке, чтобы в выходные раздавить с друзьями. Откуда я знал, что там спирт метиловый?»
Нужно правильный токсин использовать просто. С длительным сроком действия 3 суток например.Пока организм распаковывает токсин, а там мало ли где и чем отравился. Токсин тоже подходящий растительный,животный,грибной. Ботулотоксин например. И водка не отравлена- что ви такое гаварите. Водка была с ограниченным сроком хранения.
Это всего лишь проблема нашего законодательства. Что плохого в отравленной еде? Не нарушай закон, не пострадаешь
Именно. Если кто-то идёт ночью по кладбищу и видит стоит водка и огурец, выпили и умерл, кто виноват? Выкинули тухлую еду на помойку, бомж сьел и умер. Кто виноват?
Ну а в целом парадигма «и поделом» вполне себе позволяла воспитывать общество, делая его более цивилизованным.
Если на кладбище стояла водка и огурец, то опять-таки будет вопрос кто и с какой целью поставил отравленную водку.
подношение злым духам кладбища, которые любят яды? Или это уже тоже запрещено?
Таким образом вы подтвердили, что это вы сами залили в бутылку яд и оставили её на кладбище. Уже намного легче привязать к этому причинение смерти по неосторожности.
Не, ну понятно, что такое надо включать, только если уже свидетели и доказательства есть, что ты наливал и оставлял водку. На крайний случай, так сказать.
А тут вы всё равно цепляете 109 статью:
Субъективная сторона — неосторожность в виде причинения смерти по легкомыслию или небрежности: виновное лицо, нарушая правила предосторожности, предвидело возможность наступления смерти потерпевшего, но без достаточных к тому оснований самонадеянно рассчитывало на предотвращение такого результата (легкомыслие)... хотя при необходимой внимательности и предусмотрительности должно было и могло это предвидеть (небрежность).
Даже если вы сумеете доказать, что делали подношение злым духам, вы оставили яд в водочной бутылке рядом с банкой огурцов на кладбище. Вы могли понимать, что какой-нибудь бомж может подумать, что эту бутылку с водкой просто забыли после поминок, и выпить, но проявили легкомыслие и небрежность.
Только этим вы ещё рискуете быть наказанным по ст. 148, ч. 1, 2 («Публичные действия, выражающие явное неуважение к обществу и совершенные в целях оскорбления религиозных чувств верующих, совершенные в местах, специально предназначенных для проведения богослужений, других религиозных обрядов и церемоний») и ст. 244 («Надругательство над телами умерших и местами их захоронения»), так что в любом случае не очень хорошая стратегия защиты.
кладбище- место публичное. Частная квартира или сервер- приватная.
Вот хабр тоже публичное место. кто то пошутил про rm -rf / в комментариях, а кто, то не вызвал man, не загуглил и не спросил у ИИ и потёр все данные на диске. Кто виноват ? помню в корп праве есть понятия об обязанности проявлять "должную осмотрительность"
> в целях оскорбления религиозных чувств верующих
Тогда оскорблённые верующие должны доказать, что их чувства важнее чем чувства верующего в духов.
Гипотеза всеблагого и всемогущего бога имеет логическую проблему известную как теодицея. Сложно это со страданиями и несправедливостью в мире увязать. А если предполагать, что сверх естественная сущность зла то вопрос "почему ребёнок рождается со страшным заболеванием и умирает в муках, ведь он безгрешен" находит легкое объяснения.
Я не юрист, но оставить яд в общедоступном месте без явной маркировки, что это яд, а даже наоборот, имитирующий другой, неядовитый продукт, если это повлечет тяжкие последствия - статья однозначно.
подношение злым духам кладбища, которые любят яды? Или это уже тоже запрещено?
Ок, давайте заменим водку на гранату. Тоже невинное подношение?
Плохого прежде всего в том, что за кражу со взломом в более-менее цивилизованных странах наказание -- лишение свободы, а не смертная казнь. И приговор выносит не обокраденный Шпак, а правоохранительные органы.
А иначе -- сначала вы допускаете возможность отравить воров водкой в холодильнике, потом -- застрелить соседского ребенка, забравшегося в ваш сад за парой яблок. А потом вас самих застрелят за то, что вы из кармана достали смартфон, а там рядом табличка "Фотографировать запрещено". Ну а что? Нарушил -- получай.
Люблю такие вот набросы в духе старого доброго "Сегодня он играет джаз, а завтра родину продаст". Сегодня ты не постелил коврик у двери, чтобы вор не ушибся, если споткнется, а завтра ты гитлер.
Оставив отравленную водку, я никого не травлю. Травит себя человек, залезший в чужой дом и выпивший украденную жидкость. Ему никто водку к виску горлу не прижимал и насильно не вливал.
Замечательно: вы спланированное убийство приравниваете к игре джаза.
Ставя мину у входной двери, я тоже никого не взрываю, а взрывает себя человек, который на эту мину наступит. Но устанавливая мину, я создаю - умышленно создаю - условия, чтобы этот человек подорвался.
Оставив водку с отравой на столе, вы умышленно создаете условие для того, чтобы кто-то этой водкой отравился.
Заметьте. Вы не оставляете бутылку с этикеткой "Метанол ЯД", к примеру. Вы умышленно ставите яд под видом бутылки водки. Чтобы убить.
Повторю: есть понятие соразмерности. Проучить вора водкой со слабительным и небольшим количеством растворимого соединения теллура - это туда-сюда. Обгадиться по дороге домой и затем вонять полгода - неплохая мстя. Но кража не должна караться смертной казнью.
Именно. Если он не совершить преступление, он не пострадает. Собственно проблемы и нет. Он умышленно создаёт ситуацию, что бы он подорвался
Сравнивать административную и уголовную ответственность тоже смешно. Почему вы защищаете преступника? Вы видите себя на его месте?
кража не должна караться смертной казнью.
Назовите мне хоть одну ситуацию, в которой вот-прям-вопрос-жизни-и-смерти взломать замок на двери моей дачи, достать из шкафчика бутылку "водки" и выпить её (не растереться, а именно употребить внутрь). При всём богатстве моего воспалённого воображения я такого случая представить себе не могу.
Что-то негусто у вас с воображением. Классика - буран, замерзающий человек. И кстати по законам РФ имеет полное право. https://ru.wikipedia.org/wiki/Крайняя_необходимость
Классика — буран, замерзающий человек.
Учите матчасть. Водка вовнутрь («для сугреву») — это для замерзающего человека верный пропуск на тот свет, даже если она ни разу не отравлена.
(А если использовать спирт как горючее — скажем, в спиртовке — то глубоко неважно, отравлен ли он.)
Перечитайте свой запрос.
Назовите мне хоть одну ситуацию, в которой вот-прям-вопрос-жизни-и-смерти взломать замок на двери моей дачи, достать из шкафчика бутылку "водки" и выпить её (не растереться, а именно употребить внутрь).
Чему именно из перечисленного пример не соответствует?
Учите матчасть
Во-первых я не говорил о КОРРЕКТНОСТИ ПОВЕДЕНИЯ, я говорил о РЕАЛИСТИЧНОСТИ сценария. Вламываться в чужие дома некорректно, начнем вообще с этого. Или вы сейчас будете мне рассказывать что никто в мире не употребляет водку внутрь "для сугреву"? Во-вторых между нами - главная опасность при самостоятельном выходе из гипотермии это afterdrop и он зависит не сколько от расширения капилляров после этанола, он и от стадии гипотермии зависит и от внешней температуры на момент сброса спазма. Первый кандидат на смерть в приведенной ситуации будет как раз тот кто НЕ вломится в чужой дом, а вот человек в компенсации выпивший водку и растопивший камин имеет все шансы выжить, это плохо и разменяет температуру ядра на периферию но в этот момент разница между ними не совсем катастрофическая, раз он еще имеет достаточно координации чтобы найти и выпить водку. В субкомпенсации, когда не дрожит а идут спазмы - ну 50/50 или выживет или нет, водка точно хорошего не сделает но и это уже не главная проблема. В некомпенсированном - он просто не сумеет забраться в дом. Может вам самим чего-нибудь подучить? Без уважения, турист 2 разряда и член лизыалерт.
P.S. Если так хочется показать себя умным - открывайте хотя бы свои ссылки а не кидайте первое попавшееся. В той статье до гипотермии дело даже не доходит, там тупо не бухайте на морозе.
Чему именно из перечисленного пример не соответствует?
«Выпить бутылку водки на морозе» не является действием, которое спасло бы жизнь пациента.
растопивший камин
У Вас на даче есть камин??? Багатенький Буратино!
он еще имеет достаточно координации чтобы найти и выпить водку.
У него там не только «найти и выпить» — у него ещё координации хватило сломать замок и выбить дверь, по Вашей же постановке задачи. Лучше бы он эту энергию потратил на нахождение пути до больницы.
Вы сами хоть дочитали приведённую статью до конца?
А кто тогда ответит за кражу? По идее, исходя из нормы, что собственник обязан сам заботиться о своей собственности, а также то, что забота означает в том числе и защиту, нести солидарную ответственность обязан ещё и тот, кто мешает собственнику заботиться о своей собственности. Поскольку государство ограничивает гражданина в средствах и методах работы, оно обязано предпринять определённые усилия для возвращения собственнику его собственности. Если же это невозможно, либо государство не может вернуть собственность в установленный срок, то оно обязано полностью компенсировать гражданину стоимость утраченного имущества. Иначе зачем оно нужно? :-/
«Государство» — это не потусторонняя сущность, волею своей из ничего создающее ништяки, чтобы полностью компенсировать. Средства на полную конпенсацию оно может только собрать со своих граждан. У вас с дачи бриллианты с3.14здили, и теперь вам вся страна скидывается — и я, и Вася, и тот парень, который в 90-е воровал мясо, чтобы выжить? Что‑то не ощущаю я в такой ситуации высшей справедливости — возможно, за неимением бриллиантов, но не ощущаю.
А что дальше мысль не развиваете? Если государство не может компенсировать стоимость утраченного имущества, не говоря уже о здоровье и жизни, значит оно не должно мешать собственнику заботиться о своей собственности.
Если вам интересно лично моё мнение, то я не вижу ничего криминального, аморального и т. п. в том, в какой таре, в каком месте и с какой целью я храню у себя дома крысиный йад. Это мнение, правда, наверняка расходится с уголовным кодексом вашей юрисдикции, но если оно как-то утешит вас в колонии, то пользуйтесь на здоровье.
потом -- застрелить соседского ребенка, забравшегося в ваш сад за парой яблок
В некоторых штатах на заборах вокруг домов часто можно учидеть таблички со следующим текстом:
Private property
No trespassing
Trespassers will be shot on site
No exceptions
В переводе: Частная территория. Не входить ни под каким предлогом. Нарушитель будет застрелен на месте.
Эти таблички там не просто так висят :-)
Вы мне напоминаете легендарных владельцев дачи, которые специально оставили отравленную еду на столе для воров, а потом долго удивлялись в колонии, за что срок дали.
Результат от страны зависит вообще-то. В России это будет срок в колонии для владельца дачи. В Швеции это будет срок для одного из трех воров, который единственный водку пить не стал и остался жив - он сядет, сюрприз-сюрприз, за два трупа своих подельников :-)
Да ладно? А можно ссылку какую-то?
Я в 2010 ходил на курсы для мигрантов, на которых рассказывалось о том, какой разрыв шаблона вас ждёт, если вы переезжаете из страны А в страну Б. Я брал пары стран США-Россия и США-Швеция (там не было Россия-Швеция). В США я на момент курсов и так жил, так что я чисто по приколу сходил что бы проверить. В Швеции я собирался жить, так что я по американскому опыту знал заранее, что курсы могут заблаговременно предупредить о всяких неочевидных местных заскоках.
На курсах все это расказывали - про castle doctrine, guilt by association, felony murder rule, как сделать разрешение на ношение в США и как получить Глок в Швеции, зачем в Швеции нужна справка из ФБР, и всё такое прочее. Я специфически спросил "что будет если двое напали на меня с пушками и я одного из них застрелил а второй убежал но был пойман полицией" и получил ответ, что оставшийся в живых криминал сядет за один труп - за труп своего подельника.
Но это же совсем другое. Напали с пушками - и залезли что-то украсть, не находите? )
felony murder rule
Ага, таким образом Солу Гудману дали срок за убийство двух федеральных агентов, хотя он лично об убийстве был ни сном, ни духом. Кто смотрел, тот понимает )
Хороший пример, в США тоже такое возможно.
А можно подробнее? Очень уж неожиданный финал
Есть такое общее правило в разных юрисдикциях (которое может быть неприменимо в частном случае про который вы думаете, комментарии от случайного пользователя на Хабре не являются юридической консультацией, etc.): если вы нарушили закон, даже по мелочи (misdemeanor), но в результате этого нарушения погиб человек, то вы виновны в его смерти, даже если не причинили её прямо.
Хотите - можете банить по айпишнику, но я бы на вашем месте проконсультировался с юристом, как законодательство вашей страны относится к таким трюкам и на какие штрафы рискуете попасть.
Да?
А как законодательство той же страны относится к тому что например открываешь intel.com (и далеко не только) через штатный канал доступа и тебя шлют лесом? Или нуэтодругое?
у которых может закончиться место на диске.
У кого это 10 Гб на диске всего? Тут вообще сложно придраться.
А просто отправить их на три цифры(418) нельзя?
Что-то мне это напоминает...
Отдавайте им просто копипасту "Площадь Тяньаньмэнь" по plain HTTP, пусть с ними уже партия разбирается.
САБЖ
动态网自由门 天安門 天安门 法輪功 李洪志 Free Tibet 六四天安門事件 The Tiananmen Square protests of 1989 天安門大屠殺 The Tiananmen Square Massacre 反右派鬥爭 The Anti-Rightist Struggle 大躍進政策 The Great Leap Forward 文化大革命 The Great Proletarian Cultural Revolution 人權 Human Rights 民運 Democratization 自由 Freedom 獨立 Independence 多黨制 Multi-party system 台灣 臺灣 Taiwan Formosa 中華民國 Republic of China 西藏 土伯特 唐古特 Tibet 達賴喇嘛 Dalai Lama 法輪功 Falun Dafa 新疆維吾爾自治區 The Xinjiang Uyghur Autonomous Region 諾貝爾和平獎 Nobel Peace Prize 劉暁波 Liu Xiaobo 民主 言論 思想 反共 反革命 抗議 運動 騷亂 暴亂 騷擾 擾亂 抗暴 平反 維權 示威游行 李洪志 法輪大法 大法弟子 強制斷種 強制堕胎 民族淨化 人體實驗 肅清 胡耀邦 趙紫陽 魏京生 王丹 還政於民 和平演變 激流中國 北京之春 大紀元時報 九評論共産黨 獨裁 專制 壓制 統一 監視 鎮壓 迫害 侵略 掠奪 破壞 拷問 屠殺 活摘器官 誘拐 買賣人口 遊進 走私 毒品 賣淫 春畫 賭博 六合彩 天安門 天安门 法輪功 李洪志 Winnie the Pooh 劉曉波动态网自由门
Есть же fail2ban.
Дубль.
Уже написали https://habr.com/ru/articles/905776/#comment_28241528
Можно пойти еще дальше и сжимать нули в zstd.
На 3-м уровне сжатия в 10 МиБ архив помещается чуть больше 300 ГиБ нулей. Э - эффективность.
Да и контент можно считывать только частично
Вот именно. Если файл упаковывается потоком, то и распаковываться он может так же потоком. При распаковке нужно просто следить, чтобы распакованный уже размер не превышал комфортный для краулера. Наверняка во все ботнеты обход такого давно уже заложен.
потенциально вы можете устроить сбой и повреждение собственного устройства
Wat? Повреждения «устройств» зип-бомбой?
>На свой сервер я добавил промежуточное ПО
А вот здесь пожалуйста поподробнее. Что то вроде ханипота? или сингатуры атак
А урон атакующему. Хм. Я на одной из прошлых работ настраивал сработку по попытки тыкаться на белый IP куда не звали с левых IP. А тыкались такие массово. Обычный сервер организации мало кому интересной за пределами региона, но сделай проброс без VPN фильтрации mssql, ssh или RDP (без разнице на каком порту)- тут же брутфорсить начинают.
Насколько помню, там даже не разрыв соединения ставил, а удержание его в подвешенном состоянии до разрыва по таймауту. Тоже можно заявить- бот не умеет обработать разрывы соединений или их удержания. У них бот поломался.
От такого заголовка первая мысль была про другое использование - завал заражённого сервера бомбой, как взрыв для тушения пожара
А как себя поведёт браузер, если на такое наткнётся? Упадёт вкладка или есть защита какая?
Проверил под Linux вот таким скриптом под видом сервера (запустить из консоли, обращаться из браузера как http://localhost:1025/html и http://localhost:1025/bombue, файл bombue.gz сделал согласно изложенным в посте инструкциям, в файл html.gz просто загзипил маленький html-файл, проверить, что работает):
#!/usr/bin/env python3
from http.server import HTTPServer, SimpleHTTPRequestHandler
# бонба с нулями и нормальный html-файл для проверки
paths_and_files = {'/bombue': 'bombue.gz', '/html': 'html.gz'}
class MyHandler(SimpleHTTPRequestHandler):
def do_GET(self):
if self.path in paths_and_files.keys():
fname = paths_and_files[self.path]
with open(fname, "rb") as f:
f = f.read()
self.send_response(200)
self.send_header('Content-Type', 'text/html')
self.send_header('Content-Encoding', 'gzip') # 'deflate, gzip' чо-то не работает
self.send_header('Content-Length', f"{len(f)}")
self.end_headers()
self.wfile.write(f)
return
else:
return SimpleHTTPRequestHandler.do_GET(self)
def main():
server = HTTPServer(('localhost', 1025), MyHandler)
server.serve_forever()
if __name__ == '__main__':
main()
При попытке открыть /bombue в Firefox, он некоторое время (меньше минуты) гоняет по заголовку таба индикатор загрузки, после чего прекращает и отображает пустую страницу, сервер говорит, что всё отдал. Согласно системному монитору, загрузка процессора на это время увеличивается с 1-2% до где-то 15%, при том потребляет, якобы, не процесс "firefox-bin", а процесс с названием "WebContent", уж не знаю, чей он. Потребление памяти не меняется ни для "firefox-bin" (остаётся порядка 500MB), ни для "WebContent" (40MB), возможно, распаковка идёт где-то в другом процессе, но другие процессы ни процессора, ни памяти практически не потребляют вовсе.
При попытке открыть в Chromium, общая загрузка процессора увеличивается до 20%, согласно системному монитору, всё жрёт один из процессов Хромиума, и памяти он тоже нажирает под 2GB, тоже меньше минуты это длится, потом он прекращает попытку и выдаёт "Aw, Snap! Something went wrong while displaying this webpage. Error code: 4". Сервер выдаёт исключение "ConnectionResetError: [Errno 104] Connection reset by peer".
Интересно, вчера вышла https://www.opennet.ru/opennews/art.shtml?num=63163, а затем этот материал?
Концепция интересна, однако почему бы если вы поняли что он не хороший пользователь или бот, кинуть его на tarpit и пусть ожидает ответа на каждое действие, ну или просто отправить его блуждать по "скрытому" разделу сайта с задержкой ответа для таких. На haproxy у меня реализовано примерно так, кто то превышает кол во запросов на странице, или стучится в форму авторизации, его кидает на фейковый бекенд с авторизацией или капчу (зависит от его действий) и тарпитом, что сделает обычный пользователь? Может пару раз попробует авторизацию/капчу пройти и закроет, а бот будет добиться бесконечно пока не получит silent-drop. Заносим в slick table на какой нибудь срок и все. Клиент в полном игноре. Ни кодов ошибок типо 429 или 403, просто ни чего в ответ.
Оставляя за скобками способ выявления хакера/бота, если он попался, то самое полезное - это максимально замедлить его работу.
Именно не просто сломать (он просто перезагрузится и пойдёт к кому-то другому), а именно blackhole ему сделать. Сколько там таймаут по сокету? вот один chunk на несколько байт ему из /dev/zero отдавать чтобы только коннект не обрывался. Или TCP ACK замедлить или ещё что-то.
Многие файрволы именно так и делают - кидаем IP этого buddy в определённую таблицу и пусть он повисит помучается.
Да и вам по трафику легче будет.
У меня так было настроено - сидит демон и логи грепает от разных сервисов которые наружу выставлены, как только обнаружит такого бота - добавляет его в таблицу и всё.
На почти 200 комментариев никто не предложил просто... отключать ботам поддержку сжатия. И будут сервера plaintext слать, да трафик преумножать. В таком случае уж точно лучше tarpit заморочиться.
Но когда я обнаруживаю, что они или пытаются инъецировать атаки, или пытаются нащупать ответ, то возвращаю 200 OK
Статья могла бы быть не таким бесполезным унылым пережёвыванием уже всех известных методов, разверни автор это единственное предложение в нормальное описание КАК собственно детектить (а лучше с гайдом для разных серверов и описанием алгоритма который за его сакраментальным "sMalicious()
" прячется...
Ну технологии 90-х вернулись.
Тогда в заголовке зипа указывали повторение в 1000. Если цепочек в заголовке хватало, то один архив клал насмерть FIDO узел. Ну, если нода не перепаковывала, то поинт получал по полной
один архив клал насмерть FIDO узел.
Фидошник таким баловались? О_о и за такие шутки никого не отключали?
Какая настольгия, форк бомбы еще живы.
А не проще закрыть доступ такому боту? Куда сложнее отфильтровать бота от реального юзера.
Для защиты своего сервера я использую zip-бомбы