Nieskończoność istnieje. Pokazał jak zrobić zipa, który zawiera samego siebie.

26 lipca 2019, 10:55 | W biegu | komentarzy 6
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Tak, rozpakowujesz zip-a, a w środku jest ten sam zip. Jeśli rozpakowujesz go do skutku, dotykasz niskończoności ;-) Ten opisywany już kiedyś temat nadaje się na zip bombę (miejmy nadzieję, że wszystkie antywirusy radzą sobie z takim zip-em bez problemu). Ale jak zbudować takiego zip-a (precyzyjniej: gzipa) od zera? Temat nie jest prosty:

A word of warning for those inexperienced in Lempel-Ziv and Huffman Codes, compressed archive specs like DEFLATE, and editing files on a binary-level—there is a lot to learn

A autorowi przygotowanie tego 204 bajtowego gzip-a zajęło początkowo około miesiąc:


ptest$ shasum -a 256 quine.gz
74d8c6721497c7103c082d489ed913d5cf509ed44520f0e15a55302e1faacb8f quine.gz
ptest$ gzip -d quine.gz
ptest$ shasum -a 256 quine
74d8c6721497c7103c082d489ed913d5cf509ed44520f0e15a55302e1faacb8f quine

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ciekawostka: kilka lat temu musiałem zrezygnować z hostingu (Kei), bo używany przez nich antywirus nie radził sobie z przeanalizowaniem takiego zipa, który trzymałem jako interesujący artefakt na serwerze. :D

    Odpowiedz
    • pakerrr

      Na zewnętrzne hostingi pakuje się z hasłem.
      Np. gmail zabraniał pobierać podejrzane pliki przez www.
      Na szczęście szło przez pop3s.
      Od tamtego czasu ciekawostki lecą u mnie tylko z hasłem.

      Odpowiedz
      • Na rozsądnym hostingu nie powinno ich interesować, co tam jest. Owszem, mogą zrobić skan i poinformować o wynikach (przydatny ficzer). Mogą podejmować jakieś działania po otrzymaniu z zewnątrz zgłoszeń na temat jakiegoś pliku. Jeżeli jednak firma stawia sobie za punkt honoru grożenie bezrefleksyjną blokadą dostępu po znalezieniu „zagrożenia” i jednocześnie poziom komunikacji sięga dna, to dla mnie znak, żeby uciekać. Innych ofert jest pod dostatkiem. :)

        E-maile to co innego. Tutaj nawet mogę poprzeć rozwiązanie GMaila. Typowy użytkownik naprawdę zbyt łatwo może dać się nabrać. Wiem, że dla wielu to może być równie wnerwiające, jak antywirusy są dla developerów, ale weź pod uwagę, że większość osób nawet jakby exeka i 50 ostrzeżeń dostała, to i tak poklika OK, OK, OK, OK i uruchomi „bo zdjęcia ślicznych kotków”.

        Szyfrowanie oczywiście prawie zawsze dla danych, które nie powinny wyjść poza konkretną grupę odbiorców. E-mail, hosting, pastebiny, gdziekolwiek.

        Odpowiedz
        • pakerrr

          Byłby duży strach korzystać z e-maila na Twoim hostingu z Twoimi sugerowanymi blokadami.
          Nigdy nie wiadomo co mógłbyś uznać za słuszne dla tłumu.
          Nie prościej zrobić opcję włącz/wyłącz blokadę?

          Odpowiedz
          • Strach? Przecież blokada dotyczy rzeczy zakwalifikowanych jako mogących stanowić zagrożenie. Wątpię, żeby GMail zaczął jutro zaliczać informacje o chińskich dysydentach jako niebezpieczne. ;)

            Opcja wyłączenia oznacza, że sama funkcja straci sens. To tak, jak możliwość wypisania się ze szczepień. Że sobie ktoś zrobi krzywdę jest mało istotne: problem w tym, że obrywają wszyscy w około.

            Może miałbym inną opinię, gdyby nie istniała możliwość ominięcia tego w postaci prośby o przesłanie zaszyfrowanej kopii. Ale istnieje i nie stanowi jakiegoś szczególnego obciążenia.

  2. pakerrr

    Tak. Strach. Nadgorliwość jest gorsza od sraczki.
    Gmail potrafił wrzucać e-maile z zakupami ze sklepu internetowego do spamu.

    Opcja wyłączenia nie sprawi, że funkcja straci sens.
    Kto chce to niech korzysta.
    Dla kogoś pewna funkcja może być zupełnie nieprzydatna i powinna być opcja wyłączenia jej.
    Funkcja będzie wciąż działać o ile ktoś będzie chciał jej używać i ją włączy.

    Ze szczepieniami pofrunąłeś na maksa.
    Co jeśli ktoś jest uczulony na jakikolwiek ze składników szczepionki?

    Czy współpracowałeś kiedyś z laikiem, który nie umie rozpakowywać plików zip z hasłem, ani tworzyć takie pliki?
    Zrób sobie test z takim laikiem w obu przypadkach.
    Po kilku takich przypadkach nawet laik zasugeruje zmianę poczty lub wyłączenie zbędnych blokad.
    Prawdziwą zabawę miałbyś z takim klientem, który używa tylko jednego palca, bo ma smartfona, a o zipie słyszał jako zip w nfz :)

    Odpowiedz

Odpowiedz