URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108718
[ Назад ]

Исходное сообщение
"Релиз http-сервера lighttpd 1.4.41"
Отправлено opennews , 01-Авг-16 08:53

Состоялся (http://www.lighttpd.net/2016/7/31/1.4.41/) релиз легковесного http-сервера lighttpd 1.4.41 (http://www.lighttpd.net), в котором устранены 4 проблемы с безопасностью и внесена порция исправлений ошибок. Из связанных с безопасностью изменений отмечаются организация кодированием кавычек в HTML и XML, проверка идентификатора группы при использовании настройки server.username, отключение кэша stat_cache при неактивном режиме server.follow-symlink и прекращение передачи переменной HTTP_PROXY в окружение CGI-скриптов. В новом выпуске также отменены внесённые в прошлой версии изменения поведения при заполнении переменных REQUEST_URI и REDIRECT_URI. Кроме того, при неопределении директивы server.upload-dirs для размещения временных файлов теперь используется содержимое переменной окружения TMPDIR или "/var/tmp", если данная переменная не заполнена.
URL: http://www.lighttpd.net/2016/7/31/1.4.41/
Новость: https://www.opennet.ru/opennews/art.shtml?num=44880

Содержание

Релиз http-сервера lighttpd 1.4.41,Аноним, 08:53 , 01-Авг-16
- Релиз http-сервера lighttpd 1.4.41,rm1, 09:08 , 01-Авг-16
  - Релиз http-сервера lighttpd 1.4.41,Аноним, 09:09 , 01-Авг-16
    - Релиз http-сервера lighttpd 1.4.41,rob pike, 10:03 , 01-Авг-16
      - Релиз http-сервера lighttpd 1.4.41,Аноним, 10:13 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Alex, 10:17 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 11:39 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 12:25 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 12:59 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 19:34 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 12:02 , 04-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 16:01 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Andrey Mitrofanov, 16:20 , 01-Авг-16
        Релиз http-сервера lighttpd 1.4.41,rob pike, 21:49 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 22:43 , 02-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 09:05 , 03-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 22:47 , 02-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 09:26 , 03-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 21:41 , 03-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 12:00 , 04-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 01:16 , 05-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 02:17 , 06-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 19:36 , 01-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,Аноним, 22:51 , 02-Авг-16
      - Релиз http-сервера lighttpd 1.4.41,abidas, 00:41 , 02-Авг-16
        
        Релиз http-сервера lighttpd 1.4.41,rob pike, 06:53 , 02-Авг-16
    - Релиз http-сервера lighttpd 1.4.41,Аноним, 19:32 , 01-Авг-16

Сообщения в этом обсуждении

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 08:53

> организация кодированием кавычек в HTML и XML
Это вебсервер или генератор динамического контента?

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rm1 , 01-Авг-16 09:08

fix bugs introduced in 1.4.40 (sorry)
    bug: lighttpd 1.4.40 might leave client sockets in TIME WAIT (FIN2_WAIT)
    bug: lighttpd 1.4.40 times out on TLS requests with POST data
    bug: lighttpd 1.4.40 reversed REQUEST_URI/REDIRECT_URI (now reverted)
    bug: lighttpd 1.4.40 rejects IPv6 addrs in $HTTP[“remoteip”]
    bug: lighttpd 1.4.40 rejects IPv6 addrs in $SERVER[“socket”] scope identifier
    bug: lighttpd 1.4.40 segfault in mod_accesslog if %T in custom format
    bug: lighttpd 1.4.40 might trigger assert when converting to hex string
это *баный глюкодром, вот это что

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 09:09

Больше похоже на "Made in China", быстро сурово и одноразово.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 01-Авг-16 10:03

Современный Made in China значительно отличается от ваших стереотипов из восьмидесятых.
http://tengine.taobao.org/

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 10:13

Это просто nginx, а не что-то их собственное и китайское.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Alex , 01-Авг-16 10:17

Берут и переименовывают !!! Молодцы !

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 01-Авг-16 11:39

Вы там кроме переименования ничего не увидели? На имена авторов модулей посмотрите, начиная с ngx_lua.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 12:25

ngx_lua единственно адекватный китайский проект.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 01-Авг-16 12:59

Перечислите, пожалуйста, известные вам китайские проекты, которые вы считаете неадекватными.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 19:34

> Перечислите, пожалуйста, известные вам китайские проекты, которые вы считаете неадекватными.
На гитхаб зайди, чудак. Половина репок - домашка китайских студней, зачем-то вываленная на публику.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 04-Авг-16 12:02

Первый день на гитхабе, не привыкли еще к оскалу опенсорса?

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 16:01

Один из разработчиков nginx (кажется, Максим Дунин) неоднократно высказывал свое нелестное мнение о качестве китайских модулей в мейл-листах nginx.
Думаю, он знает, что говорит.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Andrey Mitrofanov , 01-Авг-16 16:20

> Один из разработчиков nginx (кажется, Максим Дунин) неоднократно высказывал свое нелестное
> мнение о качестве китайских модулей в мейл-листах nginx.
> Думаю, он знает, что говорит.
А работу американских программеров отдают индусам. Америкосы-то всё знают про качество индусского кода.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 01-Авг-16 21:49

Разработчик nginx и сотрудник компании NGINX, Inc. будет высказывать такое мнение о любых модулях по как минимум двум вполне понятным причинам.
Во-первых, потому что куча клиентов обращается в саппорт с "ничего не работает" и в каком-то количестве случаев в этом виноваты какие-то сторонние модули - при этом не факт что дело даже в их качестве, чаще в неквалифицированной сборке, установке и настройке. Но Максиму Дунину было бы гораздо проще жить на свете если бы никаких сторонних модулей не существовало как таковых.
Во-вторых, некоторая функциональность, которую NGINX, Inc. пытается с не самым фантастическим успехом продавать в виде закрытого NGINX Plus, часто существует, или быстро появляется, в виде модулей. Что приводит потенциального покупателя к мысли о том что покупке NGINX Plus есть и альтернативы - что тоже не радует разработчика Максима Дунина.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 02-Авг-16 22:43

Он вроде бы занимается в основном опенсорс версией, так что это вряд ли. И критерии приводились объективные - копипаст огромных кусков ядра nginx с небольшими модификациями и использование хаков (типа доступа к приватным структурам), которые могут сломаться в любой момент.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 03-Авг-16 09:05

Разумеется, под словом "Максим" обсуждался условный сотрудник NGINX, Inc.
> которые могут сломаться в любой момент
Могут, конечно. Только эти модули есть, и чаще всего работают. Это намного лучше идеальных модулей, которых нет.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 02-Авг-16 22:47

Кстати, разрабатываемая Сысоевым альтернатива lua-модулю, njs, - это вовсе не закрытый код:
http://hg.nginx.org/njs/, BSD license, весь процесс разработки публичен практически с самого начала.
Самое главное, что закрыто и доступно только в "плюсе" - это инфраструктура для взаимодействия между воркерами. Если эту часть кода открыть, практически все остальные модули из "плюса" повторить совершенно тривиально. :)

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 03-Авг-16 09:26

> Кстати, разрабатываемая Сысоевым альтернатива lua-модулю, njs, - это вовсе не закрытый
> код:
> http://hg.nginx.org/njs/, BSD license, весь процесс разработки публичен практически
> с самого начала.
Которое не нужно и неинтересно никому кроме Игоря, которому стало скучно пилить одно и то же вторую декаду. О чем он сам честно и говорил. Из практических соображений вместо этого лучше было бы впилить в nginx Lua, вот только это давно сделано китайцами.
> Самое главное, что закрыто и доступно только в "плюсе" - это инфраструктура
> для взаимодействия между воркерами. Если эту часть кода открыть, практически все
> остальные модули из "плюса" повторить совершенно тривиально. :)
Инфраструктура взаимодействия между воркерами есть и без закрытого Nginx Plus - это light threads и cosocket из OpenResty. Писать в 2016 году модули для nginx на Си - это очень странное желание.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 03-Авг-16 21:41

Видел, лично мне это страшно тащить в highload-продакшн, как-то все хрупко выглядит, не навернулось бы на большой нагрузке...

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 04-Авг-16 12:00

У Cloudflare, например, не наворачивается. Но у вас, конечно, нагрузки поболе их будут.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 05-Авг-16 01:16

В cloudflare работают разработчики этого кода. Для них это не проблема, и они на сто процентов знают, как его безопасно использовать.
Я не осилил, притом что основной код nginx мне понятен, писал модули (давно).

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 06-Авг-16 02:17

Странно. А что именно вызвало затруднения (или опасения), какие аспекты, части?

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 19:36

> Это просто nginx, а не что-то их собственное и китайское.
Только оно динамически загружать модули научилось лет за 5 до нжинкса. Как видите, если разработчики артачатся, китайцы могут и сами себе фичу накодить.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 02-Авг-16 22:51

> Только оно динамически загружать модули научилось лет за 5 до нжинкса
Проблема с динамическими модулями не в том, чтобы их реализовать (это просто), а в том, что при загрузке модуля с несовместимой сборкой nginx все сегфолтнется в неожиданный момент. Эта проблема у китайцев не решена никак.
В nginx эту проблему как бы решили - но пока что решение так себе, проверяют ровное совпадение версии nginx. По хорошему, надо ввести понятие версии API и параметров сборки, влияющих на структуры (такие как with-ipv6), и сравнивать именно их - как это сделано, например, в PHP.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено abidas , 02-Авг-16 00:41

Вы, как специалист в области современного китайского ПО, не могли бы пояснить, почему количество релизов tengine 7-8 в год в 2012-2013 упало до двух в 2015? Действительно ли текущий код tengine базируется на nginx-1.6 двухлетней давности? Почему ссылки на оба мейллиста tengine уже длительное время отдают 502? Можно ли сделать вывод, что продукт достиг совершенства и обсуждать больше нечего?
Заранее спасибо!

"Релиз http-сервера lighttpd 1.4.41"
Отправлено rob pike , 02-Авг-16 06:53

Все ушли на OpenResty.

"Релиз http-сервера lighttpd 1.4.41"
Отправлено Аноним , 01-Авг-16 19:32

А вот и дудки, там студенты. Этого достаточно для превращения проекта в учебный полигон.