Wein, Weiber, Waffen
Или как мы читали Гарри Поттера.
длинный скайполог[15:28:20] Иштван: Кстати, ты помнишь четвёртую книгу про Гарри Поттера?
[15:28:43] Ranee: это где у них турнир был?
[15:28:46] Ranee: ну приблизительно
[15:29:51] Иштван: Я тут подумал, что их процесс регистрации на турнир через кубок это же чистый случай ИБ. Только замусоренный всякими магиесловечками
[15:32:39] Иштван: Смотри, есть форма регистрации - кубок.
Туда надо отправить пакет, в котором указано имя и школа претендента. Насколько я понял, формат пакета задан жёстко, и название школы не может быть произвольным - сравнение с тремя допустимыми вариантами.
Чтобы школьники не озоровали, к форме регистрации прикручен файрволл и ips-ка. Она не допускает отправки более одного пакета от одного участника, а также проверяет юзерагент участника, чтобы он не был младше указанного возраста. Там описывались два охламона, которые пытались спуфануть юзерагент, но ips обнаружила эту дешёвую попытку атаки и нещадно их покарала.
[15:34:52] Иштван: Затем есть хакер, который имеет эксплоит к файрволлу, который даёт ему рутовый шелл. Он применяет этот эксплойт, и меняет правила, добавляя ещё одну школу - пустое поле. И регистрирует Гарри Поттера от этой школы (на бумажке с именем Поттера школы не было).
Всё вроде логично, но у меня возник вопрос - умеет ли ips определять личность пользователя. То есть можно ли без рутового шелла зарегистрировать кого-то другого? Или у неё есть доступ к БД всех учеников с их годами рождения?
[15:35:12] Иштван: Короче, у меня профдеформация
Но этот момент в Гарри Поттере реально забавляет
[15:35:40] Ranee: ну, тут интереснее сам факт отбора
[15:35:47] Ranee: теоретически это святой рэндом
[15:35:56] Ranee: практически - отбираются лучшие и выдающиеся
[15:36:03] Ranee: вопрос, по каким критериям строился алгоритм
[15:36:22] Ranee: и мог ли на него влиять кто-нибудь типа Дамблдора
[15:37:19] Иштван: Ну в отношении Поттера там, имхо, всё 100% ясно. Он был единственным кандидатом от школы "".
А одного участника из одного участника одинаково выберет любой алгоритм.
[15:37:42] Иштван: НО ты права, если это не рандом, то нужен доступ к БД, в котором есть уже не только имена с годами рождения, а ещё и личные дела.
[15:38:15] Ranee: причем сравнение должно взвешивать разные свойства в одной системе
[15:38:17] Иштван: Которые парсятся по неким ключевым словам, и затем биг дата отбирает того, у кого самый большой процент совпадения
[15:38:23] Иштван: Биг дата
[15:38:38] Ranee: тут интересно за что сколько баллов дают)
[15:38:53] Ranee: например чемпион по этой их игре в мячик получает больше очков, чем отличник?
[15:39:01] Ranee: отличник одной школы больше чем другой и тд
[15:39:54] Иштван: Ну это мы никогда не узнаем
[15:41:08] Иштван: Я вообще эту мысль начал раскручивать с идеи, почему те два дуболома попытались скрафтить экслойт своими кривыми руками вместо того чтобы подкупом, уговорами или шантажом убедить одного из старшеклассников бросить бумажки за них.
[15:41:49] Иштван: В принципе, идея связи с базой это всё решает легко.
[15:42:50] Ranee: это Роулинг, у нее с банальной логикой по-моему все плохо)
[15:43:03] Ranee: начиная с того, почему к опекунам поттера не пришла ювенальная юстиция
[15:44:21] Иштван: Так как вряд ли школы делятся базами друг с другом - они скорее всего выкладывают свою БД на некий внешний адрес, доступный только с кубка.
Тогда наш хакер тупо добавил в код одну строчку:
smep://evil.uk/school.smdb
Где smep - some magic encrypted protocol, smdb - some magic database
[15:44:31] Иштван: То есть вместо трёх линков стало четыре
[15:44:56] Ranee: тут вопрос, как он приписал +1 к числу итераций)
[15:45:21] Иштван: Скорее всего, там не было проверки целостности кода.
А даже если была - у него был рутовый шелл =)))
[15:46:04] Иштван: А может там не было цикла, а был тупой китайский код с тремя копипащенными строчками
import
[15:46:23] Иштван: Что не отменяет вышесказанного
[15:46:37] Ranee: в общем на самом деле Воландеморт - хакер)
[15:47:55] Иштван: Году в 2005-2006 была пародия на это всё дело
Harry aka Po++eR и AMD'овский камень
[15:48:39] Ranee: не видела, ГП ии методы рационального мышления почитала с удовольствием
[15:48:58] Иштван: А я до МРМ так и не добрался.
[15:49:14] Иштван: А про камень - это было поделие, известное в очень узких кругах линуксоидов ))
[15:49:23] Иштван: Там был профессор сетестроения Серверус Нетскейп
[15:49:28] Ranee:
[15:49:48] Иштван: Которого Гарри и Рон троллили, прийдя на урок в футболках "Вайфай рулит, долой провода!"
[15:50:49] Ranee: у канонных бы на это мозга не хватило
[15:51:14] Ranee: Гермиона при таком раскладе должна была бытьтимлид девелопером)
[15:51:14] Иштван: В каноне вообще с мозгами зась
[15:51:27] Иштван: Она там была Герми aka GrAnger
[15:52:38] Иштван: И шуточки типа:
- Но нам же запрещено хакать на каникулах!
- Да я же не хакал, хакал мой родственник - ламер, а я стоял за плечом и подсказывал. Он дефейснул сайт RIAA и повесил туда ссылки на файлообменники с mp3
[15:52:55] Ranee: какая прелесть)
А как вы читаете это дело?
длинный скайполог[15:28:20] Иштван: Кстати, ты помнишь четвёртую книгу про Гарри Поттера?
[15:28:43] Ranee: это где у них турнир был?
[15:28:46] Ranee: ну приблизительно
[15:29:51] Иштван: Я тут подумал, что их процесс регистрации на турнир через кубок это же чистый случай ИБ. Только замусоренный всякими магиесловечками
[15:32:39] Иштван: Смотри, есть форма регистрации - кубок.
Туда надо отправить пакет, в котором указано имя и школа претендента. Насколько я понял, формат пакета задан жёстко, и название школы не может быть произвольным - сравнение с тремя допустимыми вариантами.
Чтобы школьники не озоровали, к форме регистрации прикручен файрволл и ips-ка. Она не допускает отправки более одного пакета от одного участника, а также проверяет юзерагент участника, чтобы он не был младше указанного возраста. Там описывались два охламона, которые пытались спуфануть юзерагент, но ips обнаружила эту дешёвую попытку атаки и нещадно их покарала.
[15:34:52] Иштван: Затем есть хакер, который имеет эксплоит к файрволлу, который даёт ему рутовый шелл. Он применяет этот эксплойт, и меняет правила, добавляя ещё одну школу - пустое поле. И регистрирует Гарри Поттера от этой школы (на бумажке с именем Поттера школы не было).
Всё вроде логично, но у меня возник вопрос - умеет ли ips определять личность пользователя. То есть можно ли без рутового шелла зарегистрировать кого-то другого? Или у неё есть доступ к БД всех учеников с их годами рождения?
[15:35:12] Иштван: Короче, у меня профдеформация
Но этот момент в Гарри Поттере реально забавляет
[15:35:40] Ranee: ну, тут интереснее сам факт отбора
[15:35:47] Ranee: теоретически это святой рэндом
[15:35:56] Ranee: практически - отбираются лучшие и выдающиеся
[15:36:03] Ranee: вопрос, по каким критериям строился алгоритм
[15:36:22] Ranee: и мог ли на него влиять кто-нибудь типа Дамблдора
[15:37:19] Иштван: Ну в отношении Поттера там, имхо, всё 100% ясно. Он был единственным кандидатом от школы "".
А одного участника из одного участника одинаково выберет любой алгоритм.
[15:37:42] Иштван: НО ты права, если это не рандом, то нужен доступ к БД, в котором есть уже не только имена с годами рождения, а ещё и личные дела.
[15:38:15] Ranee: причем сравнение должно взвешивать разные свойства в одной системе
[15:38:17] Иштван: Которые парсятся по неким ключевым словам, и затем биг дата отбирает того, у кого самый большой процент совпадения
[15:38:23] Иштван: Биг дата
[15:38:38] Ranee: тут интересно за что сколько баллов дают)
[15:38:53] Ranee: например чемпион по этой их игре в мячик получает больше очков, чем отличник?
[15:39:01] Ranee: отличник одной школы больше чем другой и тд
[15:39:54] Иштван: Ну это мы никогда не узнаем
[15:41:08] Иштван: Я вообще эту мысль начал раскручивать с идеи, почему те два дуболома попытались скрафтить экслойт своими кривыми руками вместо того чтобы подкупом, уговорами или шантажом убедить одного из старшеклассников бросить бумажки за них.
[15:41:49] Иштван: В принципе, идея связи с базой это всё решает легко.
[15:42:50] Ranee: это Роулинг, у нее с банальной логикой по-моему все плохо)
[15:43:03] Ranee: начиная с того, почему к опекунам поттера не пришла ювенальная юстиция
[15:44:21] Иштван: Так как вряд ли школы делятся базами друг с другом - они скорее всего выкладывают свою БД на некий внешний адрес, доступный только с кубка.
Тогда наш хакер тупо добавил в код одну строчку:
smep://evil.uk/school.smdb
Где smep - some magic encrypted protocol, smdb - some magic database
[15:44:31] Иштван: То есть вместо трёх линков стало четыре
[15:44:56] Ranee: тут вопрос, как он приписал +1 к числу итераций)
[15:45:21] Иштван: Скорее всего, там не было проверки целостности кода.
А даже если была - у него был рутовый шелл =)))
[15:46:04] Иштван: А может там не было цикла, а был тупой китайский код с тремя копипащенными строчками
import
[15:46:23] Иштван: Что не отменяет вышесказанного
[15:46:37] Ranee: в общем на самом деле Воландеморт - хакер)
[15:47:55] Иштван: Году в 2005-2006 была пародия на это всё дело
Harry aka Po++eR и AMD'овский камень
[15:48:39] Ranee: не видела, ГП ии методы рационального мышления почитала с удовольствием
[15:48:58] Иштван: А я до МРМ так и не добрался.
[15:49:14] Иштван: А про камень - это было поделие, известное в очень узких кругах линуксоидов ))
[15:49:23] Иштван: Там был профессор сетестроения Серверус Нетскейп
[15:49:28] Ranee:
[15:49:48] Иштван: Которого Гарри и Рон троллили, прийдя на урок в футболках "Вайфай рулит, долой провода!"
[15:50:49] Ranee: у канонных бы на это мозга не хватило
[15:51:14] Ranee: Гермиона при таком раскладе должна была бытьтимлид девелопером)
[15:51:14] Иштван: В каноне вообще с мозгами зась
[15:51:27] Иштван: Она там была Герми aka GrAnger
[15:52:38] Иштван: И шуточки типа:
- Но нам же запрещено хакать на каникулах!
- Да я же не хакал, хакал мой родственник - ламер, а я стоял за плечом и подсказывал. Он дефейснул сайт RIAA и повесил туда ссылки на файлообменники с mp3
[15:52:55] Ranee:
какая прелесть)А как вы читаете это дело?
-
-
26.07.2016 в 22:41-
-
27.07.2016 в 06:44-
-
28.07.2016 в 20:52Лайверин, ну в каноне там вообще никакого научного подхода к магии нет. Чистая механистика. Скажи "Хрен" с раскатистым Р и нарисуй в воздухе палочкой то, о чём подумал, и будет заклинание. Почему именно так - никто не пытается объяснять.
Чувствуется профдеформация уже автора
-
-
29.07.2016 в 20:33Жаль. А то после прочтения финала осталось ощущение, что если не всё, то многое в нём было не тем, чем кажется.