大规模视频网站的计费与流量管理
本次分享将会就大规模视频网站的计费与流量管理这个话题,从操作层面细细进行讲解和分析,为系统工程师们揭示平日里我们没有关心的另一些内容。同时也希望本次分享能揭示行业中的一些“潜规则”,让互联网行业的流量与带宽管理更为开放与简洁。
本次演讲视频录制于QCon杭州2011。
新闻
该内容已经被标记书签!
标记书签错误,请重试!
Ruby发现众多安全缺陷,Safe Level、WEBrick、Dl和DNS查找皆受影响
作者 Werner Schuster 译者 李明(nasi) 发布于 2008年8月11日
其中的一个问题来自safe levels。通过设置safe level,可以禁止操作和定义被认为是污染了的数据。Ruby中的污染数据(Tainted Data)在使用前必须显式的净化。被发现的安全缺陷有:
- untrace_var在safe level 4是允许的
- $PROGRAM_NAME在safe level 4是可以修改的
- 不安全的方法在safe level 1-3可能可以调用
- Syslog操作在safe level 4是允许的
在WEBrick中也发现了安全缺陷,这可能会导致拒绝服务(DoS)攻击。问题源自用于响应和解析HTTP头的部分代码导致──在特定的数据下,正则引擎会挂掉导致程序终止。
近期发现的DNS安全问题也影响到了Ruby,通过DNS事务ID和源端口的随机化,这个问题得到了解决。
对于1.8.x的用户,解决方法是升级至1.8.6-p286和1.8.7-p71。对于1.9.x的Ruby用户,似乎当前最好的解决方法就是从SVN中取得最新的代码──所有在r18423之后的版本应该都是安全的。
升级到1.8.7也是个可能导致问题的解决方案。如果在Ruby 1.8.7上使用Rails 2.0,则会默认将ActiveSupport方法添加到String中,而因为语义稍有不同(请看InfoQ关于Ruby开放类的文章来了解相关问题),可能会引发问题。Rails 2.1在Ruby 1.8.7可以正常工作。
译者 李明(nasi) 毕业于东北大学,曾供职于百度网页搜索部,从事分布式网络爬虫及其国际化的研发工作。
没有回复
关注此讨论 回复