The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск http-сервера Apache 2.4.26 с полноценной поддержкой HTTP/2

21.06.2017 22:40

Доступен релиз HTTP-сервера Apache 2.4.26, в котором представлено 63 изменения, 22 из которых связаны с исправлениями в модуле mod_http2.

Из изменений можно отметить:

  • C модуля mod_http2 снята метка экспериментальной разработки, реализация протокола HTTP/2 отныне признана готовой для повсеместного применения;
  • Добавлен новый модуль mod_brotli для сжатия с использованием алгоритма Brotli (RFC 7932);
  • В файле конфигурации обеспечено выполнение вложенных блоков If/ElseIf/Else;
  • В mod_lua добавлена поддержка Lua 5.3;
  • Изменено поведение mod_rewrite: если подстановка является полным URL, а схема/хост/порт совпадают с текущим виртуальным хостом, то компонент пути в URL больше не интерпретируется как локальный путь, если он присутствует в файловой системе. Для возвращения старого поведения добавлена опция "RewriteOption LegacyPrefixDocRoot";
  • В mod_rewrite добавлен флаг 'BNP' (backreferences-no-plus), включающий замену пробелов в обратных ссылках RewriteRule на "%20" вместо "+";
  • В mod_rewrite добавлена возможность ограничения экранирования определённых символов через указание их в флаге "B";
  • В mod_env добавлен вывод предупреждения для директивы 'SetEnv', если в имени переменной окружения указан символ '=';
  • В mod_proxy_http2 добавлена поддержка заголовков Reverse Proxy Request;
  • В mod_proxy_fcgi добавлена директива ProxyFCGISetEnvIf для изменения переменных окружения CGI на стадии до вызова FastCGI;
  • В mod_proxy разрешено применение переменной окружения "no-proxy" в качестве альтернативы выражению "ProxyPass /path !";
  • В mod_proxy_fcgi возвращено старое поведение (2.4.20), оставляющее префикс "proxy:fcgi://" в переменной окружения SCRIPT_FILENAME;
  • В mod_proxy_http2 добавлена директива ProxyPreserverHost;
  • В mod_proxy_wstunnel добавлен параметр "upgrade", разрешающий обновление до другого протокола;
  • Проведена работа по увеличению производительности, качества буферизации и динамического регулирования потоком в mod_http2;
  • В mod_http2 директива MaxKeepAliveRequests теперь ограничивает число повторных использований slave-соединений;
  • В mod_http2 добавлена поддержка директивы MergeTrailers;
  • В mod_autoindex добавлена опция "IndexOptions UseOldDateFormat", позволяющая использовать формат Last Modified как в Apache 2.2;
  • В парсер выражений добавлена подстановка %{REMOTE_PORT};
  • Во вложенных SSI-выражениях подстановка %{DOCUMENT_URI} теперь всегда указывает на URI оригинального запроса, а не на URI вложенного документа;
  • В mod_ssl добавлена поддержка OpenSSL 1.1.0;
  • Устранено 5 уязвимостей:
    • CVE-2017-3167 - обход аутентификации при использовании ap_get_basic_auth_pw() в сторонних модулях;
    • CVE-2017-3169 - инициирование краха через отправку запроса HTTPS из-за разыменования нулевого указателя в mod_ssl;
    • CVE-2017-7659 - инициирование краха через отправку запроса HTTP/2 из-за разыменования нулевого указателя в mod_http2;
    • CVE-2017-7668 - чтение вне границ буфера в функции ap_find_token() может привести к краху при обработке специально оформленных заголовков запроса;
    • CVE-2017-7679 - чтение вне границ буфера в mod_mime может привести к чтению байта из области за пределами выделенного буфера при обработке специально оформленного заголовка Content-Type. Интересно, что о проблеме было сообщено ещё в ноябре 2015 года, а исправление внесено только сейчас.


  1. Главная ссылка к новости (http://www.mail-archive.com/an...)
  2. OpenNews: Релиз http-сервера Apache 2.4.25
  3. OpenNews: DoS-уязвимость в mod_http2 из состава http-сервера Apache
  4. OpenNews: В HTTP-сервере Apache 2.4.23 устранена уязвимость
  5. OpenNews: Выпуск nginx 1.9.5 с поддержкой HTTP/2
  6. OpenNews: Серия уязвимостей в реализациях HTTP/2
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46741-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, А (??), 01:32, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Когда уже Brotli добавят в nginx в базовый набор модулей? Это, судя по всему, требует более приличного кода в https://github.com/google/ngx_brotli , так что расти есть куда, но уделить этому сжатию внимание было бы минимум хорошо.

    Раз уже Apache научился (а его реже на фронтэнд ставят)!

     
     
  • 2.3, menangen (?), 04:56, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лучше не brotli, а zstd - жмёт лучше.
     
  • 2.6, нах (?), 10:05, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    да, нам так не хватает еще дыр в нем Вы гугль Может быть - вы факинбук Или мо... большой текст свёрнут, показать
     
     
  • 3.7, Клыкастый (ok), 10:11, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >  Или может вы хоститесь в Воронеже и по сей день платите за траффик покилобайтно?

    Полегче дружище. Сжатие штука нужная даже на хороших каналах, потому как выигрыш по времени может быть даже с учётом запаковки-распаковки. Опять же жабаскриптописатели тоже в курсе, что "каналы у всех хорошие" и стесняются всё меньше, так что сжатие само по себе (безотносительно Brotli) штука годная. Или уж во всяком случае - имеющая свою target group :)

     
     
  • 4.12, нах (?), 13:01, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –7 +/
    да нет никакого выигрыша по времени в современной сети Все выигрыши осталис... большой текст свёрнут, показать
     
     
  • 5.14, YetAnotherOnanym (ok), 13:09, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > остались во временах

    Дружище, съезди за город, на природу, проветрись, зайди отттуда на какой-нибудь сайт.

     
     
  • 6.29, нах (?), 21:39, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Дружище, съезди за город, на природу, проветрись, зайди отттуда на какой-нибудь сайт.

    съездил, зашел - вы таки не поверите, но графического и скриптового контента vs текста ровно столько же и за городом ;-) А теперь посчитайте, сколько у того втентакля наприродных пользователей, какой ему от них прок, в пересчете на рекламные клики, которых они не делают потому что "интернет дорогой", и долго ли в этом свете еще проживет (недо)мобильная версия.

    Причем если отъехать не в сторону условного Воронежа, а чуть подальше, то, внезапно, в этом подальше снова появляется вполне себе 4G. А поскольку они там опоздали в развитии, cоответственно, нагрянул он прямо сразу, почти без промежуточных wap/gprs/edge остановок - очень занятно было наблюдать, как за пять лет в "нашей" деревне и соседнем городишке пожрал всех - начиная с adsl'щиков и заканчивая мультисервисниками.

     
     
  • 7.40, Аноним (-), 17:09, 03/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> ...втентакля ...

    Забавно что в треде про оптимизацию вы указали ресурс который очень хорошо оптимизирован под плохую связь через мобильник, а в мобиольной версии так и подавно, тут нужно было рукалицо и синус указываать...

     
  • 5.18, RomanCh (ok), 14:02, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Осталось только css'ы еще начать делать бинарными, вот щастье-то и настанет (полагаю, доживем).

    А что вы таки имеете против бинарных протоколов передачи данных? Нет, я конечно *уверен*  что web-мартышки реализуют это как обычно, так что без ещё большей боли будет невозможно. Но в целом если подходить системно, то лучше бы по сети гонять бинарные данные сразу готовые к интерпретации, а не текстовые портянки которые постоянно нужно парсить, на что при наличии быстрого интернета тратится времени гораздо больше чем на собственно загрузку данных (вплоть до 1-2 секунд на страницу).

     
  • 5.19, Клыкастый (ok), 14:39, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > быть уверен, что весь "выигрыш" сожрет переваривание этого очередного шедевра уеб-дизигна клиентом

    это как говорится уже совсем другой вопрос.

    > это ты как раз зря - они уже изобрели уебассемблер, который практически
    > не пакуется. И сpаный канвас, чтоб рисовать графические элементы (которые исходно
    > тоже не пакуются) прямо на пользователе, а не передавать их по
    > сети. Осталось только css'ы еще начать делать бинарными, вот щастье-то и
    > настанет (полагаю, доживем).

    как-то так, да. всё дело ползёт к запуску приложений на твоей машине, а не отрисовке гипертекста.

    > И это щастье с нами уже тоже навсегда.

    ну, скажем так, надолго. до приложений.

     
  • 5.34, Alex (??), 03:03, 25/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    GPRS/EDGE? Не, не слышал
     
  • 3.9, Dark Amateur (?), 10:57, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И опять же, в Воронеже всё хорошо с Интернетом.
     
     
  • 4.13, нах (?), 13:07, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И опять же, в Воронеже всё хорошо с Интернетом.

    ну-ка, ну-ка, почем у вас _хостинг_ (аренда/колло) без учета траффика или с разумными лимитами, хотя бы пару терабайт per port ? (и как там с сохранением полосы хотя бы до MSK-IX?)
    С лайками вконтактега-то да, хорошо, но за это спасибо сотовым операторам скажи, которые у нас, к счастью, федеральные.

    сжатие-то - оно актуально (хотя бы в теории) на сервере, клиент никаких терабайтов _сжимаемых_ данных не качает - а твое порно не сжимабельно.

     
     
  • 5.17, RomanCh (ok), 14:00, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Меня постоянно поражает ваша феерическая самоуверенность в том что вы лучше всех знаете всё, в частности то что нужно другим людям. Вы часом не архитектором мира работаете?

    Но таки как выше намекнули - в наши времена распространился мобильный интернет, и что характерно его всё больше и больше. И там сжатие на клиенте иногда таки имеет смысл. Например если ответ со сжатием пролезает в 1 пакет, а без в 4, то разницу уже можно начать чувствовать.

    Дышите глубже и поверьте мне на слово - вам всё-таки не всегда всё известно лучше чем остальным.

     
     
  • 6.22, нах (?), 21:37, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    то, что вам кажется самоуверенностью - на самом деле просто опыт Чуть пошире ва... большой текст свёрнут, показать
     
     
  • 7.23, RomanCh (ok), 22:43, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  а на планете Земля к концу второго десятилетия XXI века "мобильный интернет" как отдельная разновидность среды передачи данных, наоборот, по сути кончился

    Вашими бы устами, да... Гхм... Я про последнюю милю если что. А там разница весьма ощутимая по прежнему.

    Но впрочем, судя по вашей фиксации на порно/cиcьках/письках, и очень большому стремлению сыпать "умными словами" вплоть до периодических противоречий самому себе, я думаю что-то обсуждать бесполезно. Вы похожи на человека который хочет что бы все-все-все вокруг поверили в вашу опупительную крутоту, что вероятно должно заменить вам что-то явно недостающее в жизни (уж не знаю что и не нужно додумывать за меня).

     
  • 7.35, Snaut (ok), 14:02, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > то, что вам кажется самоуверенностью - на самом деле просто опыт. Чуть
    > пошире вашего.

    ну давай друг, канал IPVPN от ростелека, порядка миллиона рублей в год, 300 мегабит.

    без сжатия трафика на 500 мегабит в секунду, т.е. нужно платить еще миллион рублей в год.


    со сжатием - на 250 мегабит в секунду.


    умный вы наш опытный, пишите свои комменты

     

  • 1.2, . (?), 02:38, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.opennet.ru/openforum/vsluhforumID3/111554.html#2
    Ну скажите что я не прав? :-)
     
     
  • 2.4, iFRAME (ok), 06:48, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да пожалуйста. Ты не прав.
     
     
  • 3.24, . (?), 02:23, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Спасибо, Друк! :)
    А демьян теперь на 5 лет с протухшим Индейцем. У которого главная фишка HTTP2 в продакшен :( Про ЫнжЫнгз в курсе :-) Но осадочек .... :)
     

  • 1.8, Аноним (-), 10:38, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Кому нужен Apache, когда есть nginx?
     
     
  • 2.10, миливольт (?), 10:59, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А кому нужен ты?
     
  • 2.11, Zver (??), 11:04, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Кому он нужен, когда есть Go и Java со встроенными серверами.
     
  • 2.15, Аноним (-), 13:14, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну мне нужен. потому как жингс не умеет в cgi из коробки/без костылей. а у нас крутится легаси софт, который написан на СИшке под cgi и никто его переписывать не будет.
     
     
  • 3.25, . (?), 03:43, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    thttpd бэкэндом и заб{ыи}ть ... :)
     
     
  • 4.26, Аноним (-), 11:01, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    когда последний раз его пробовал (в 2003 году), он только 1 приложение выполнял одновременно. думаю сейчас в этом плане не сильно изменилось :)
     
     
  • 5.37, _ (??), 17:01, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну если у тебя 100500 cgi то вам по любому на стандартной, из коробки, конфигурации не уползти. Будете и собирать и тюнить лапками.
    А для случая "а вот тут у меня Ы-фейс печати справки №18 обр. 1973г" - самоё оно :)
     
  • 2.16, leap42 (ok), 13:29, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    где-то в 6-7 классе будете проходить то, что есть не только wordpress, а ещё куча всякого legasy-дерьма (и не только), которое прекрасно работает с индейцем и не работает с php-fpm
     
     
  • 3.20, Gemorroj (ok), 17:01, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А кроме легаси? Серьезно, интересны юзкейсы когда апач предпочтительнее чем нжинкс.
    Например, если поотключать ненужные модули, .htaccess, может ли апач быть сопоставим по потреблению ресурсов с нжинксом?
     
     
  • 4.21, XoRe (ok), 18:28, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А кроме легаси? Серьезно, интересны юзкейсы когда апач предпочтительнее чем нжинкс.

    Кроме .htaccess?
    Какие-то очень редкие модули к апачу, которые есть только к апачу.
    Правда, если они нужны, они постепенно появляются и для nginx.

    Например, ntlm авторизация - там с ней сложность, что авторизация работает в рамках одного соединения.
    Раньше её мог только apache, потом появился модуль к nginx.

    > Например, если поотключать ненужные модули, .htaccess, может ли апач быть сопоставим по
    > потреблению ресурсов с нжинксом?

    Нет.

    Но, по хорошему, вам же не только ресурсы, но и скорость нужна.
    Так вот, если в apache все отрубить, то... тоже нет :)

     
  • 4.33, username (??), 09:51, 24/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Меньше пей смузи. Нгинкс разве что прокси для http\s годное и ради lua, но маркетинг его убивает в последние годы.
    В остальном узкоспециальные вещи в ходу, это у взрослых.
     

  • 1.30, gogo (?), 00:56, 24/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Лично мне в nginx не хватает server-status апача.
    Чтобы там не говорили, про то, что статус нужно смотреть у бекенда - бред все это. Я хочу иметь возможность увидеть каждый конкретный запрос, который сейчас обрабатывается, а не общую статистику. А такой  возможности почему-то нет даже у платного модуля.
     
     
  • 2.31, gogo (?), 00:56, 24/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Упс, куда-то не в ту ветку написал... Сори...
     
     
  • 3.32, Аноним (-), 02:04, 24/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это желание у тебя быстро пройдет при 10к+.
     
     
  • 4.36, Snaut (ok), 14:36, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это желание у тебя быстро пройдет при 10к+.

    есть желание или его нет пофиг. у меня 200К+ соединений, но при этом находятся уникумы, которые запрос построят таким образом, что и не поймешь почему не работает. а это еще все, что клиент не может даже свой IP адрес сказать. только логин приложения.

    вот тогда и будешь его каждый запрос выцеплять. НО! это делается не вручную, а с помощью софта целенаправленного

     
     
  • 5.38, _ (??), 17:06, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ОМФГ. На какойм то этапе жизни ты узнаешь о существовании tcpdump и ему подобных ...
    Это будет ШОК! Ты даже смузи пить не сможешь!
    Ну а далее Лео - зависит от того какого цвета таблетку ты выберешь :-)))))
     
     
  • 6.39, Snaut (ok), 08:59, 27/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ОМФГ. На какойм то этапе жизни ты узнаешь о существовании tcpdump и
    > ему подобных ...
    > Это будет ШОК! Ты даже смузи пить не сможешь!
    > Ну а далее Лео - зависит от того какого цвета таблетку ты
    > выберешь :-)))))

    вы наверное просто не внимательно читали мой пост. входных данных никаких, только логин пользователя.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру