Википедия:Кандидаты в добротные статьи/12 декабря 2019

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Завершённые обсуждения кандидатов в добротные статьи

Начинающим · Сообщество · Порталы · Избранное · Проекты · Запросы · Оценивание
  В добротные статьи: 10 января • 11 января • 12 января • 13 января • 14 января • 15 января • 16 января • 17 января • 18 января • 19 января • 20 января • 21 января • 22 января • 23 января • 24 января • 25 января • 26 января • 27 января • 28 января • 29 января • 30 января • 31 января << | >>
Здесь находятся завершившиеся обсуждения. Просьба не вносить изменений.

POODLE[править код]

Номинирую впервые — Schetdrevnihshizov (обс.) 16:07, 12 декабря 2019 (UTC)

  • Я вижу, это (отчасти) перевод из англовики. Значит, нужно соблюсти ВП:ПЕР. — Браунинг (обс.) 17:44, 12 декабря 2019 (UTC)
  • (!) Комментарий: Добавил шаблон в "Обсуждение" со ссылкой на англоязычную статью — Schetdrevnihshizov (обс.) 21:14, 12 декабря 2019 (UTC)
  • (+) За Прям неплохо. Статусу соответствует. — La loi et la justice (обс.) 08:34, 13 декабря 2019 (UTC)
  • Мелкие замечания: в сносках 4 и 26 что-то не так с оформлением; "F5 Networks также подала заявление..." --- выглядит так, как будто неизвестно, чем это закончилось; ссылка на статью Клиент (информатика) два раза подряд не нужна, только сбивает с толку; "справочник по безопасности" — это точно так называется?; "The original publication of POODLE" — это просто поясняющая пометка, надо её перевести. — Браунинг (обс.) 15:42, 16 декабря 2019 (UTC)
  • "Другие поставщики <...> должны выпустить собственные CVE-ID" — и что-как, выпустили? такой вопрос тут же приходит в голову. — Браунинг (обс.) 15:42, 16 декабря 2019 (UTC)
  • В разделе "История" нет ничего о событиях, последовавших за объявлением об уязвимости, об этом рассказывается лишь дальше. Надо либо перенести эту часть в "Историю", либо дать в "Истории" краткую характеристику дальнейших событий и ссылку (например, через {{переход}}) на то место, где рассказывается об этом. — Браунинг (обс.) 15:42, 16 декабря 2019 (UTC)
  • Пять лет прошло, мне кажется, уже неважно, когда именно (с точностью до дня) были выпущены те или иные патчи. — Браунинг (обс.) 15:42, 16 декабря 2019 (UTC)
  • Известно ли, насколько сейчас (или когда-то раньше, но уже через большое время после выпуска патчей) распространены клиенты и серверы, уязвимы к POODLE? Возможно, эта статья поможет. — Браунинг (обс.) 15:42, 16 декабря 2019 (UTC)
  • Не совсем понятно, в чём именно идея. Downgrade dance -- штатный механизм, а уязвимости в SSL 3.0, если я правильно понял, уже были известны. В чём новизна, во вредоносном насаждении downgrade dance при MitM-атаке? Косвенно это можно было бы понять по тому, как именно помогают TLS_FALLBACK_SCSV и Anti-POODLE record splitting, но это неясно. — Браунинг (обс.) 15:42, 16 декабря 2019 (UTC)
  • (!) Комментарий: Поправил ссылки, местами исправил перевод, перенес часть в раздел история.
    Идею Вы поняли совершенно точно, суть в том, что злоумышленник принуждает клиента сделать downgrade dance при MitM-атаке. Об этом я, вроде, сказал в принципе атаке достаточно ясно, как мне показалось — Schetdrevnihshizov (обс.) 21:59, 19 декабря 2019 (UTC)
    • Отлично, спасибо за правки. Осталось ещё моё предпоследнее замечание в списке выше. Что же касается сути атаки: я согласен, что в соответствующем разделе статьи принцип атаки описано ясно, но меня ввергла в сомнение преамбула. Там акцентируется внимание на том, что произойдёт после того, как сервер согласится на SSL; между тем, хотя это важно для практической реализации атаки, само наличие такой уязвимости в SSL было уже известно на тот момент, как вы говорите. Поэтому, мне кажется, эту подробность про 256 запросов лучше убрать из преамбулы и добавить в раздел про принцип атаки, уточнив, что уже было известно о такой уязвимости в SSL. Хотя... Всё-таки вы уверены, что это действительно так? Статья-первоисточник пишет, что "If either side supports only SSL 3.0, then all hope is gone, and a serious update required to avoid insecure encryption", как будто это новость. К тому же "Unlike with the BEAST [BEAST] and Lucky 13 [Lucky13] attacks, there is no reasonable workaround" -- где ж тогда была описана эта атака на SSL, которая используется в POODLE и которая вроде бы должна была быть уже известна? Я бы подумал на BEAST, поскольку дальше в описании атаки говорится "this SSL 3.0 weakness can be exploited by a man-in-the-middle attacker to decrypt “secure” HTTP cookies, using techniques from the BEAST attack [BEAST]", но это явно опровергнуто в тексте. Из вторичных источников я этот момент тоже понять не могу. — Браунинг (обс.) 14:03, 20 декабря 2019 (UTC)
  • (!) Комментарий: Понял ваше замечание про 256 запросов. Исправил. Касательно предпоследнего вашего сообщения, сейчас практически не осталось клиентов и серверов, уязвимых к "оригинальной" POODLE-атаке, ибо само по себе появление такой атаки повлекло за собой по сути "смерть" SSL и полный переход на TLS. Однако же, сейчас появились гораздо более опасные модификации POODLE, основанные на оригинальной атаке. Об этом я упомянул в разделе "POODLE-атаки, нацеленные на TLS". Оттуда понятно, что данная атака использует недостатки реализации протокола TLS(но не самого протокола как такового, как было в оригинальной атаке) на оконечных устройствах. Соответственно, вопрос лишь в том, насколько данные "некорректные" реализации протокола распространены, а это, на мой взгляд, не самая простая задача проверить.

Касательно вашего последнего сообщения. Да, атаки на SSL были известны и ранее, именно поэтому был введен по сути новый протокол TLS на замену SSL. Описания этих атак можно найти в описаниях шифронаборов, которые используются в SSL. Это CBC и RC4. Атака POODLE лишь поспособствовала тому, что данный протокол перестали поддерживать в принципе. — Schetdrevnihshizov (обс.) 00:21, 21 декабря 2019 (UTC)

    • Если атаки на SSL были известны и раньше, то возникают вопросы о том, какие именно атаки были известны и почему это не повлекло прекращение поддержки SSL ранее? adamant.pwncontrib/talk 18:04, 21 декабря 2019 (UTC)
  • Я не уверен, что оформление внутренней ссылки через викификацию (в POODLE-атаки против TLS) хорошая идея. Возможно, следует использовать {{переход}}. adamant.pwncontrib/talk 17:47, 21 декабря 2019 (UTC)
  • «В случае успешной эксплуатации данной уязвимости, атакующей стороне в среднем необходимо выполнить только 256 запросов SSL 3.0 для того, чтобы успешно расшифровать 1 байт зашифрованных сообщений» — а это часть уязвимости POODLE или о том, как получать информацию через SSL 3.0 было известно и раньше? adamant.pwncontrib/talk 17:58, 21 декабря 2019 (UTC)
  • «Данная разновидность POODLE-атак признана более опасной, чем классическая ввиду того» ссылки викификацией наверх это совсем нехорошо, не надо так. adamant.pwncontrib/talk 18:00, 21 декабря 2019 (UTC)
  • Абрревиатура POODLE расшифровывается как "Padding Oracle On Downgraded Legacy Encryption". Что такое Downgraded Legacy Encryption, вроде бы, понятно из статьи. А что такое Padding Oracle? Мне пришлось нажать Ctrl-F на статье и посмотреть результаты, чтоб понять, какое это вообще имеет отношение к предмету статье. Думаю, следует указать в преамбуле (и в теле статьи более явно подчеркнуть), что речь идёт именно о применении атаки padding oracle после того, как мы задаунгрейдили систему шифрования. Ну и следует оформить викификацию на en:Padding oracle attack через {{iw5}} или подобный шаблон. adamant.pwncontrib/talk 18:13, 21 декабря 2019 (UTC)
  • (!) Комментарий: Исправил на переход, но не знаю, насколько так будет смотреться лучше — Schetdrevnihshizov (обс.) 12:36, 23 декабря 2019 (UTC)
  • (!) Комментарий: Атаки были известны, но SSL местами еще продолжали использовать и вносить в список допустимых протоколов ради совместимости с клиентами и серверами, использующими устаревшее(legacy) программное обеспечение. — Schetdrevnihshizov (обс.) 12:40, 23 декабря 2019 (UTC)
  • (!) Комментарий: «В случае успешной эксплуатации данной уязвимости, атакующей стороне в среднем необходимо выполнить только 256 запросов SSL 3.0 для того, чтобы успешно расшифровать 1 байт зашифрованных сообщений» - это часть атаки Padding Oracle, которая освещена в соответствующей статье про CBCSchetdrevnihshizov (обс.) 12:41, 23 декабря 2019 (UTC)
  • (!) Комментарий: Убрал ссылку викификацией наверх, она и правда была лишней — Schetdrevnihshizov (обс.) 12:43, 23 декабря 2019 (UTC)
  • (!) Комментарий: Убрал ссылку викификацией наверх, она и правда была лишней.

В разделе "Принцип атаки" есть ссылка на статью про CBC, в которой и освящена эта атака. Но я все равно поправлю преамбулу — Schetdrevnihshizov (обс.) 12:47, 23 декабря 2019 (UTC)

Итог[править код]

✔ Статья избрана. Требованиям ВП:ТДС соответствует. Замечания к статье исправлены и после последнего блока правок, на мой взгляд, в ней появилась недостающая ясность. Спасибо автору за статью! — adamant.pwncontrib/talk 19:36, 24 декабря 2019 (UTC)

Файрвол веб-приложений[править код]

Первое номинирование. — Nikitoskas (обс.) 19:27, 12 декабря 2019 (UTC)

  • (!) Комментарий: Не везде есть источники. Неплохо бы связать с другими статьями. — La loi et la justice (обс.) 08:34, 13 декабря 2019 (UTC)
    • Подробней указал источники. Добавил ссылки на эту статью в трех других статьях. — Nikitoskas (обс.) 19:32, 13 декабря 2019 (UTC)
      • Примечания должны стоять на конце абзаца. Посмотрите в качестве примера номинацию выше. -- La loi et la justice (обс.) 09:37, 14 декабря 2019 (UTC)
      • Поправил — Nikitoskas (обс.) 14:30, 15 декабря 2019 (UTC)
  • "рынок начал нуждаться в современных методах защиты информации в веб сфере" — вода какая-то. А обрывается раздел "История" как-то внезапно. — Браунинг (обс.) 16:04, 16 декабря 2019 (UTC)
    • Согласен. Убрал раздел(все равно он мне не нравился) Nikitoskas (обс.) 11:05, 21 декабря 2019 (UTC)
  • Зачем названия некоторых разделов на английском? Кажется, это имеет какой-то смысл только для XSS. — Браунинг (обс.) 16:04, 16 декабря 2019 (UTC)
    • Поправил. Оставил XSS Nikitoskas (обс.) 11:05, 21 декабря 2019 (UTC)
  • Я верно понимаю, что технически от абсолютно всех векторов атак, перечисленных в статье, можно защищаться без WAF? Это, пожалуй, главный вопрос, который возникает у меня при чтении статьи, в целом неплохой: что WAF делает такого, чего не делают другие сущности? Видимо, ничего, однако WAF явно существуют. Возможно, стоит расширить преамбулу (наверняка стоит: это ведь должен быть краткий пересказ всей статьи) и пояснить там (и в основном тексте тоже, хотя по нему это понимание уже, по сути, размазано), какое место занимают WAF в общей системе мер информационной безопасности. — Браунинг (обс.) 16:04, 16 декабря 2019 (UTC)
    • Расширил преамбулу. В ней описал, зачем нужен WAF Nikitoskas (обс.) 11:05, 21 декабря 2019 (UTC)
  • Если WAF — это коммерческий продукт, встаёт вопрос, сколько он стоит. — Браунинг (обс.) 16:04, 16 декабря 2019 (UTC)
    • На самом деле цена очень вариативна, в зависимости от компании и вида поставки. Поэтому я не очень понимаю, что по этому вопросу можно указать. Nikitoskas (обс.) 11:05, 21 декабря 2019 (UTC)
  • Во многих местах статьи WAF упоминается в единственном числе ("WAF активно использует сигнатурный анализ..."), а надо бы во множественном. — Браунинг (обс.) 16:04, 16 декабря 2019 (UTC)
  • (!) Комментарий: Так. Я перечитал статью и с некоторым удивлением обнаружил, что раздел "Векторы атак", занимающий почти половину статьи, не упоминает предмет статьи. Это странно. Особенно обидно, что тему атак на веб-приложения этот раздел раскрыват вполне удовлетворительно. Помимо этого, в статье скудная викификация (особенно в преамбуле). — Браунинг (обс.) 23:35, 24 декабря 2019 (UTC)

Итог[править код]

× Статья не избрана. Какой-то реакции на замечания нет, хотя неделя прошла. Кроме указанных замечаний есть и другие. Например, фраза "Некоторые популярные блок-листы:" явно требует АИ, поскольку сейчас выглядит как орисс. Ну и цельного представления о предмете статьи составить тяжело: после раздела "описание" идет непонятный раздел "Вектор атак". Кроме того, есть вопросы к источникам, большинство из них первичные. В общем, в настоящее время статья не соответствует ВП:ТДС. — Vladimir Solovjev обс 13:53, 31 декабря 2019 (UTC)