Názory k článku Postřehy z bezpečnosti: reálné chyby virtuálního prostředí

Zranitelnosti CVE-2021–21972 a CVE-2021-21972 se týkají (jen) vSphere Clienta.

...ktery bezi na vCenter serveru. Moc nevim co jste tim chtel rict - ze pokud nekdo vypne cele HTML rozhrani na vCenter serveru tak bude v pohode? Ponekud neprakticke....

Nikoliv, jen doplnění podle mě podstatné informace, která v článku autorům poněkud unikla.

Cituji: "První, označená CVE-2021–21972, umožňuje útočníkovi po HTTPS poslat speciálně zkonstruovaný požadavek, který mu poté umožní spouštět libovolné příkazy na serveru bez omezení práv."

Nikde bohužel není napsáno na jakém serveru: zda na jakémkoliv běžícím na VMWare, nebo na webovém rozhraní ESXi, nebo kde... proto jsem cítil nutnost informaci si vyhledávat v odkazu, a chtěl jsem ostatním tuto práci ušetřit, o nic jiného nešlo.

Máte pravdu, ta informace tam byla, ale při změnách textu mi vypadla. Díky za doplnění, asi už nemá cenu článek zpětně editovat.

Aha, v tom pripade se omlouvam, ja cetl nejdrive primarni zdroj v newsletterech a nedocvaklo mi, ze se to da spatne interpretovat.

Tak opět VMware a SLP. Nevím jestli používají nějakou 3rd party knihovnu, nebo si to napsali sami, ale je to poslední dobou už poněkolikáté...

Ten článek o JSON je výživnej ...

To je tak když se používá způsob přenosu dat bez možnosti popisu/validace obsahu ...

Existuje něco jako DTD/Schema pro JSON, to by přece mohlo být řešení?

Existuje (tradičně několik) formátů pro popis struktury JSONu, ale to uvedené problémy neřeší. Jinak JSON je příšerný formát – je to trest za to, že se spousta lidí ošklíbala nad XML. Tak se prosadil formát, který je po všech stránkách horší…

Ten format sa celkom este da. Myslim ze na rucne pisanie a aj na prenos je lepsi a jednoduchsi ako XMLko bohuzial tie schamaticke jazyky na popis (JSON Schema, Swagger, OpenAPI 3.0) to robil niekto s IQ hupacieho konika. XSD je proti tomu nebesky priezracny s nekonecnymi moznostami.

Jak je to s tím „lepší“ a „jednodušší“ si přečtěte v odkazovaném článku. Pro ruční psaní je velkou nevýhodou třeba absence komentářů.

Pre mna nie, ja som bol spokojny s XML a HLAVNE s XSD a roznymi validacnymi parsermi. Ale opytajte sa nejakeho frontend JS programatora. Ten vam to hned vysvetli.

Jj, schemy na popis nejake su, len problem je ze sa podla nich neda moc validovat. Ono nie len ze struktura tych schem je tragicka, ale vacsina api popisuje akurat strukturu toho JSONu, ale ako typ spravidla je zvadsa string, sem tam integer, a pre istotu este vsetky polia ako optional...

Vzhledem k tomu, že čísla v JSONu se mohou parsovat, jak se to parseru hodí, je vlastně docela rozumné mít vše jako string. Akorát se tím ztrácí jedna z údajných výhod JSONu, že i bez schématu poznáte typ hodnoty.

Ještě je tu jeden hustý článek o jsonu, respektive jak ho nedokázali parsovat: https://nee.lv/2021/02/28/How-I-cut-GTA-Online-loading-times-by-70/