OpenForum RSS: Релиз http-сервера lighttpd 1.4.41 https://www.opennet.ru/openforum/vsluhforumID3/108718.html Состоялся (http://www.lighttpd.net/2016/7/31/1.4.41/) релиз легковесного http-сервера lighttpd 1.4.41 (http://www.lighttpd.net), в котором устранены 4 проблемы с безопасностью и внесена порция исправлений ошибок. Из связанных с безопасностью изменений отмечаются организация кодированием кавычек в HTML и XML, проверка идентификатора группы при использовании настройки server.username, отключение кэша stat_cache при неактивном режиме server.follow-symlink и прекращение передачи переменной HTTP_PROXY в окружение CGI-скриптов. В новом выпуске также отменены внесённые в прошлой версии изменения поведения при заполнении переменных REQUEST_URI и REDIRECT_URI. Кроме того, при неопределении директивы server.upload-dirs для размещения временных файлов теперь используется содержимое переменной окружения TMPDIR или "/var/tmp", если данная переменная не заполнена.<br><br>URL: http://www.lighttpd.net/2016/7/31/1.4.41/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=44880<br> Релиз http-сервера lighttpd 1.4.41 (rob pike) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#31 Fri, 05 Aug 2016 23:17:22 GMT Странно. А что именно вызвало затруднения (или опасения), какие аспекты, части?<br> Релиз http-сервера lighttpd 1.4.41 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#30 Thu, 04 Aug 2016 22:16:41 GMT В cloudflare работают разработчики этого кода. Для них это не проблема, и они на сто процентов знают, как его безопасно использовать.<br><br>Я не осилил, притом что основной код nginx мне понятен, писал модули (давно).<br> Релиз http-сервера lighttpd 1.4.41 (rob pike) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#29 Thu, 04 Aug 2016 09:02:19 GMT Первый день на гитхабе, не привыкли еще к оскалу опенсорса?<br> Релиз http-сервера lighttpd 1.4.41 (rob pike) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#28 Thu, 04 Aug 2016 09:00:24 GMT У Cloudflare, например, не наворачивается. Но у вас, конечно, нагрузки поболе их будут.<br> Релиз http-сервера lighttpd 1.4.41 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#27 Wed, 03 Aug 2016 18:41:46 GMT Видел, лично мне это страшно тащить в highload-продакшн, как-то все хрупко выглядит, не навернулось бы на большой нагрузке...<br> Релиз http-сервера lighttpd 1.4.41 (rob pike) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#26 Wed, 03 Aug 2016 06:26:21 GMT &gt; Кстати, разрабатываемая Сысоевым альтернатива lua-модулю, njs, - это вовсе не закрытый <br>&gt; код: <br>&gt; http://hg.nginx.org/njs/, BSD license, весь процесс разработки публичен практически <br>&gt; с самого начала.<br><br>Которое не нужно и неинтересно никому кроме Игоря, которому стало скучно пилить одно и то же вторую декаду. О чем он сам честно и говорил. Из практических соображений вместо этого лучше было бы впилить в nginx Lua, вот только это давно сделано китайцами.<br><br>&gt; Самое главное, что закрыто и доступно только в "плюсе" - это инфраструктура <br>&gt; для взаимодействия между воркерами. Если эту часть кода открыть, практически все <br>&gt; остальные модули из "плюса" повторить совершенно тривиально. :) <br><br>Инфраструктура взаимодействия между воркерами есть и без закрытого Nginx Plus - это light threads и cosocket из OpenResty. Писать в 2016 году модули для nginx на Си - это очень странное желание.<br><br> Релиз http-сервера lighttpd 1.4.41 (rob pike) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#25 Wed, 03 Aug 2016 06:05:18 GMT Разумеется, под словом "Максим" обсуждался условный сотрудник NGINX, Inc. <br><br>&gt; которые могут сломаться в любой момент<br><br>Могут, конечно. Только эти модули есть, и чаще всего работают. Это намного лучше идеальных модулей, которых нет.<br> Релиз http-сервера lighttpd 1.4.41 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#24 Tue, 02 Aug 2016 19:51:46 GMT &gt; Только оно динамически загружать модули научилось лет за 5 до нжинкса<br><br>Проблема с динамическими модулями не в том, чтобы их реализовать (это просто), а в том, что при загрузке модуля с несовместимой сборкой nginx все сегфолтнется в неожиданный момент. Эта проблема у китайцев не решена никак.<br><br>В nginx эту проблему как бы решили - но пока что решение так себе, проверяют ровное совпадение версии nginx. По хорошему, надо ввести понятие версии API и параметров сборки, влияющих на структуры (такие как with-ipv6), и сравнивать именно их - как это сделано, например, в PHP.<br> Релиз http-сервера lighttpd 1.4.41 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108718.html#23 Tue, 02 Aug 2016 19:47:10 GMT Кстати, разрабатываемая Сысоевым альтернатива lua-модулю, njs, - это вовсе не закрытый код:<br>http://hg.nginx.org/njs/, BSD license, весь процесс разработки публичен практически с самого начала.<br><br>Самое главное, что закрыто и доступно только в "плюсе" - это инфраструктура для взаимодействия между воркерами. Если эту часть кода открыть, практически все остальные модули из "плюса" повторить совершенно тривиально. :)<br>