На сколько безопасно Apache HttpClient соединение?

Question

My1Name @My1Name

На сколько безопасно Apache HttpClient соединение?

- Использую в программе Apache HttpClient. Добавил CookieSpecs.STANDARD, SSLContex и Header (by default). Программа - поисковый робот. Работает в многопоточном режиме и понять что происходит в соединении с конкретным узлом, можно только в том случае, если произойдёт какая-то ошибка и будет вызван метод printStackTrace().

Заметил такую тенденцию: После остановки программы, некоторые потоки становятся как daemon Thread-s. Они как "подвисают". А чтоб они быстро завершили свою работу, приходится тупо выключать интернет. Можно ли как-то добавить таймер к apache соединению, и поможет ли это защититься от гипотетических хулиганов?

Вопрос задан более года назад
66 просмотров

7 комментариев

Подписаться 1 Средний 7 комментариев

Сергей Горностаев @sergey-gornostaev Куратор тега Java

Что вы имеете ввиду под безопасностью? От каких хулиганов? Вы в данном случае клиент, а значит и хулиганство возможно только с вашей стороны.

Написано более года назад
mayton2019 @mayton2019 Куратор тега Java

Скорее всего автор наблюдал работу thread-pool. Это не для хулиганов. Это для менеджмента ресурсами.

Написано более года назад
My1Name @My1Name Автор вопроса

Сергей Горностаев,
Что вы имеете ввиду под безопасностью?

Я имею ввиду вредоносный код. HTTP соединение через HttpClient, также как и через InputStream - это по сути TCP/IP соединение. Отправляя REST запрос, я открываю порт, а что отправляет сервер - это уже зависит от владельца ресурса.

Вы в данном случае клиент, а значит и хулиганство возможно только с вашей стороны.

Клиент не может ничего отправить, что не принимает сервер. Это сервер выставляет условия. А слепо доверять любому ресурсу - это как минимум безрассудно.

Написано более года назад
Сергей Горностаев @sergey-gornostaev Куратор тега Java

My1Name, ага, это по сути tcp-соединение, через которое вы просто получаете поток байт в определённом формате
и всё. Если вы запросили условно index.html, а в ответ вам прилетел virus.exe, то надо быть очень особенным, чтобы это не заметить, принять эти данные и зачем-то их запустить. История знает тысячи случаев взлома серверов, но вот взлома клиента web-сервером что-то не припомню ни одного.

Написано более года назад
My1Name @My1Name Автор вопроса

Сергей Горностаев,
вы запросили условно index.html, а в ответ вам прилетел virus.exe

Почему сразу "virus.exe"? Например под Cookie в Apache выделяется некоторый объём памяти. По большому счёту - это набор байтов, который например может как-то взаимодействовать с каким-то скриптом. - Это всё конечно же мои догадки и предположения ("гадание на кофейной гуще"). Однако, многие сайты без поддержки javascript вообще не работают. При этом могут без предупреждения собирать инфу. о посетителях и пользователях.

История знает тысячи случаев взлома серверов

- Сервер невозможно взломать, если он правильно обрабатывает URL. Клиент принимает условия сервера, а не наоборот. Поэтому клиент больше подвержен опасности.

Написано более года назад
Сергей Горностаев @sergey-gornostaev Куратор тега Java

My1Name,

При этом могут без предупреждения собирать инфу.

Не могут больше, чем протокол http и стандартные настройки безопасности бразуеров позволяют.

многие сайты без поддержки javascript вообще не работают.

Http-клиенты js вообще не выполняют.

Сервер невозможно взломать, если он правильно обрабатывает URL.

Я за последние двадцать лет взломал целую кучу серверов, "правильно обрабатывающих URL".

Поэтому клиент больше подвержен опасности.

Остаётся открытым вопрос, почему базы уязвимостей набиты уязвимости серверов, а не клиентов.

Написано более года назад
My1Name @My1Name Автор вопроса

стандартные настройки безопасности бразуеров

- Стандартные настройки браузера, запрещают лишь всплывающие окна и закрывают доступ к сайтам не поддерживающим ssl. Последнее, между прочим, вышвырнуло с интернета все не коммерческие проекты.

Http-клиенты js вообще не выполняют.

- Вот и я думаю: Не с этим ли связано подвисание некоторых потоков в моей программе?

взломал целую кучу серверов, "правильно обрабатывающих URL".

Как? - Ведь нельзя сделать больше, чем протокол http позволяет?

почему базы уязвимостей набиты уязвимости серверов, а не клиентов.

Вопрос остался открытым: Почему принято считать, что сервер хороший, а клиент плохой?
Сегодня чаще можно услышать о краже личных данных пользователя, а не о взломе или порче сервера. Администрация того или иного ресурса, может специально заявлять о взломе или ещё что-то там придумывать, чтоб оправдать продажу БД.

Написано более года назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Java

+1 ещё

Средний
Как настроить NAT для докер контейнера со ScyllaDB?
- 1 подписчик
- 2 часа назад
- 22 просмотра
0

ответов
Java

+1 ещё

Простой
Почему не видит WebSecurityConfigurerAdapter при попытке импортировать его в класс SecurityConfig?
- 1 подписчик
- 6 часов назад
- 27 просмотров
0

ответов
Java

Простой
Почему происходит два пустых вывода при чтении с клавиатуры?
- 1 подписчик
- 8 часов назад
- 34 просмотра
1

ответ
Apache HTTP Server

+3 ещё

Простой
Как вэб сервер может узнать имя пользователя домена при входящем запросе от пользователя RPD?
- 3 подписчика
- 9 часов назад
- 287 просмотров
1

ответ
Java

+3 ещё

Средний
Пытаюсь подключиться к postgresql 16 через docker-compose, использую spring-boot 3.2.4, что не так?
- 1 подписчик
- 17 апр.
- 156 просмотров
3

ответа
Java

+1 ещё

Простой
Как правильно внедрять зависимости в классы, зависящие от не-бинов?
- 1 подписчик
- 16 апр.
- 66 просмотров
1

ответ
Python

+1 ещё

Простой
Возможно ли соединить работающий java код и так же работающий скрипт python?
- 1 подписчик
- 15 апр.
- 209 просмотров
3

ответа
Java

+2 ещё

Простой
Как заставить Tomcat работать c utf-8 и кириллицей?
- 1 подписчик
- 14 апр.
- 55 просмотров
0

ответов
Java

+2 ещё

Простой
Как правильно вывести подблок с данными на странице?
- 1 подписчик
- 14 апр.
- 29 просмотров
1

ответ
PHP

+2 ещё

Простой
Почему PHP-скрипт зависает/завершается на паузе (sleep)?
- 1 подписчик
- 11 апр.
- 121 просмотр
2

ответа
Показать ещё Загружается…

Lead Java

Bell Integrator • Ульяновск

До 400 000 ₽

Lead Java

Bell Integrator • Хабаровск

До 400 000 ₽

Lead Java

Bell Integrator • Ижевск

До 400 000 ₽

Расработка Парсер для сайта https://soliq.uz/activities/debtor

19 апр. 2024, в 19:51

3000 руб./за проект

Два скрипта, Python, web3.py, вызов функции смарт-конракта

19 апр. 2024, в 19:47

50000 руб./за проект

Сделать дизайн главной страницы сайта

19 апр. 2024, в 19:17

1500 руб./за проект

Что вы имеете ввиду под безопасностью? От каких хулиганов? Вы в данном случае клиент, а значит и хулиганство возможно только с вашей стороны.
Скорее всего автор наблюдал работу thread-pool. Это не для хулиганов. Это для менеджмента ресурсами.
Сергей Горностаев,
Что вы имеете ввиду под безопасностью?

Я имею ввиду вредоносный код. HTTP соединение через HttpClient, также как и через InputStream - это по сути TCP/IP соединение. Отправляя REST запрос, я открываю порт, а что отправляет сервер - это уже зависит от владельца ресурса.

Вы в данном случае клиент, а значит и хулиганство возможно только с вашей стороны.

Клиент не может ничего отправить, что не принимает сервер. Это сервер выставляет условия. А слепо доверять любому ресурсу - это как минимум безрассудно.
My1Name, ага, это по сути tcp-соединение, через которое вы просто получаете поток байт в определённом формате
и всё. Если вы запросили условно index.html, а в ответ вам прилетел virus.exe, то надо быть очень особенным, чтобы это не заметить, принять эти данные и зачем-то их запустить. История знает тысячи случаев взлома серверов, но вот взлома клиента web-сервером что-то не припомню ни одного.
Сергей Горностаев,
вы запросили условно index.html, а в ответ вам прилетел virus.exe

Почему сразу "virus.exe"? Например под Cookie в Apache выделяется некоторый объём памяти. По большому счёту - это набор байтов, который например может как-то взаимодействовать с каким-то скриптом. - Это всё конечно же мои догадки и предположения ("гадание на кофейной гуще"). Однако, многие сайты без поддержки javascript вообще не работают. При этом могут без предупреждения собирать инфу. о посетителях и пользователях.

История знает тысячи случаев взлома серверов

- Сервер невозможно взломать, если он правильно обрабатывает URL. Клиент принимает условия сервера, а не наоборот. Поэтому клиент больше подвержен опасности.
My1Name,

При этом могут без предупреждения собирать инфу.

Не могут больше, чем протокол http и стандартные настройки безопасности бразуеров позволяют.

многие сайты без поддержки javascript вообще не работают.

Http-клиенты js вообще не выполняют.

Сервер невозможно взломать, если он правильно обрабатывает URL.

Я за последние двадцать лет взломал целую кучу серверов, "правильно обрабатывающих URL".

Поэтому клиент больше подвержен опасности.

Остаётся открытым вопрос, почему базы уязвимостей набиты уязвимости серверов, а не клиентов.
стандартные настройки безопасности бразуеров

- Стандартные настройки браузера, запрещают лишь всплывающие окна и закрывают доступ к сайтам не поддерживающим ssl. Последнее, между прочим, вышвырнуло с интернета все не коммерческие проекты.

Http-клиенты js вообще не выполняют.

- Вот и я думаю: Не с этим ли связано подвисание некоторых потоков в моей программе?

взломал целую кучу серверов, "правильно обрабатывающих URL".

Как? - Ведь нельзя сделать больше, чем протокол http позволяет?

почему базы уязвимостей набиты уязвимости серверов, а не клиентов.

Вопрос остался открытым: Почему принято считать, что сервер хороший, а клиент плохой?
Сегодня чаще можно услышать о краже личных данных пользователя, а не о взломе или порче сервера. Администрация того или иного ресурса, может специально заявлять о взломе или ещё что-то там придумывать, чтоб оправдать продажу БД.

На сколько безопасно Apache HttpClient соединение?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт