The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз nginx 1.14.0

17.04.2018 19:39

После года разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.14.0, которая вобрала в себя изменения, накопленные в рамках основной ветки 1.13.x. В дальнейшем все изменения в стабильной ветке 1.14 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.15, в рамках которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus.

В соответствии с мартовским отчетом компании Netcraft nginx используется на 23.76% (год назад 19.55%, два года назад 16.81%) всех активных сайтов, что соответствует второму месту по популярности в данной категории (доля Apache соответствует 43.03%, Google - 7.71%, а Microsoft IIS - 6.75%). Доля nginx среди всех сайтов составляет 23.11% (год назад 19.91%, два года назад 13.23%), среди миллиона самых посещаемых сайтов в мире - 23.76% (год назад 25.64%, два года назад 21.43%). В настоящее время под управлением nginx работает около 409 млн сайтов (год назад 350 млн). По данным W3Techs 38.0% из миллиона самых посещаемых сайтов в мире используют nginx, в апреле прошлого года этот показатель составлял 33.3%, позапрошлого - 29.8%. Доля Apache за год снизилась с 50% до 46.7%, а доля Microsoft IIS с 11.3% до 9.9%. В России nginx используется на 78.9% самых посещаемых сайтов (год назад - 76.9%).

Из ключевых улучшений nginx 1.14.0 отмечается модуль mirror, поддержка протокола TLSv1.3, поддержка HTTP/2 push и модуль с реализацией gRPC-прокси. Наиболее заметные улучшения, добавленные в процессе формирования основной ветки 1.13.x:

  • Реализован механизм Server Push для протокола HTTP/2, который предоставляет возможность отправки ресурсов от сервера к клиенту, не дожидаясь их явного запроса (например, подобным образом можно передавать файлы CSS, скрипты и изображения, которые необходимы для отрисовки страницы).Для отправки push-запросов используется уже установленное клиентом сое динение. Т.е. клиент подключается и запрашивает определённую страницу, после этого сервер на основании своих настроек или содержимого переданного клиентом заголовка Link сам инициирует передачу определённых ресурсов через уже установленное соединение HTTP/2, не дожидаясь запроса этих ресурсов от клиента;
  • Добавлена поддержка протокола TLSv1.3. Для включения в директиве "ssl_protocols" следует указать параметр "TLSv1.3". Протокол поддерживается только в предстоящей версии OpenSSL 1.1.1;
  • Для соединений с бэкендами разрешено повторное согласование SSL-соединения;
  • Новые модули:
    • ngx_http_grpc_module с реализацией прокси для протокола gRPC, позволяющего организовать работу микросервисов на различных языках программирования, которые взаимодействуют между собой при помощи универсального API. Сетевое взаимодействие в gRPC реализовано поверх протокола HTTP/2 и базируется на применении Protocol Buffers для сериализации данных. Модуль даёт возможность управлять потоками gRPC, выделяя отдельные сервисы и методы. Например, появляется возможность маршрутизировать gRPC по разным бэкендам, в зависимости от запрошенной операции, блокировать или ограничивать интенсивность определённых вызовов, инспектировать трафик gRPC или организовывать балансировку нагрузки;
    • ngx_http_mirror_module, позволяющий зеркалировать поступающие запросы на другие серверы. Клиенту возвращается результат обработки запроса от основного обработчика, а результаты, возвращённые зеркалируемыми бэкендами, игнорируются. При помощи зеркалирования можно достаточно просто организовать работу синхронно обновляемого резервного сервера для таких сайтов, как web-форумы;
  • Изменения в директивах:
    • Через параметр proxy_protocol в директиве listen теперь можно включить вторую версию протокола PROXY;
    • В реализацию SSI-директивы "include" добавлена возможность использования параметра "set" для сохранения в переменную содержимого произвольных ответов. Максимальный размер ответа ограничивается значением директивы "subrequest_output_buffer_size";
    • В директиву "log_format" добавлен параметр "escape=none" для отключения экранирования символов при записи в лог;
    • В директиву set_real_ip_from в качестве параметра добавлена возможность указывать имя хоста;
    • Добавлена поддержка использования директив return и error_page для возврата перенаправлений для запросов с HTTP кодом 308;
  • Изменения в модулях:
    • В модуле ngx_stream_ssl_preread_module реализована переменная $ssl_preread_alpn_protocols;
    • В модуле ngx_http_headers реализована директива "add_trailer", через которую можно определить дополнительное поле, которое будет добавлено в конец ответа, если код ответа равен 200, 201, 206, 301, 302, 303, 307 или 308;
    • В модулях mail_proxy и stream в директиве "listen" появились поддержка параметров "rcvbuf" и "sndbuf", позволяющих настроить размер буфера приёма (параметр SO_RCVBUF) и передачи (параметр SO_SNDBUF);
  • Разное:
    • Представлена переменная $ssl_client_escaped_cert, в которой сохраняется SSL-сертификат в экранированном однострочном представлении URL-encoded, что позволяет сразу использовать данный сертификат в параметрах HTTP-запросов и в заголовках;
    • Улучшено определение размера кэша процессора;
    • Внесены исправления в обработку дат до 1970 года и после 10000 года;
    • Улучшена поддержка платформы Windows: налажена работа чистки кэша в соответствии с лимитом, заданным через параметр "max_size", решены проблемы с выделением разделяемой памяти, обеспечена работа директивы "ssl_session_ticket_key" и параметра "include" директивы "geo";
    • При отражении в логе сигналов в лог теперь записывается и PID процесса, отправившего сигнал.


  1. Главная ссылка к новости (http://mailman.nginx.org/piper...)
  2. OpenNews: Первый стабильный релиз сервера приложений NGINX Unit
  3. OpenNews: Релиз HTTP-сервера nginx 1.12.0
  4. OpenNews: Увидел свет HTTP-сервер nginx 1.10.0
  5. OpenNews: В nginx реализована поддержка gRPC
  6. OpenNews: Выпуск nginx 1.13.9 c поддержкой технологии HTTP/2 Server Push
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/48454-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:24, 17/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Добавлена поддержка протокола TLSv1.3. Для включения в директиве "ssl_protocols" следует указать параметр "TLSv1.3". Протокол поддерживается только в предстоящей версии OpenSSL 1.1.1"
    На убунту 16.04 в репы отгружается nginx, собранный с OpenSSL 1.0.2g. Вручную что-ли собирать...
     
     
  • 2.3, Аноним (-), 21:43, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тебе так не терпится включить стандарт, в котором наиболее важным изменением оказалась редакция списка рекомендованных шифров?
     
  • 2.4, Ilya Indigo (ok), 21:47, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Или выкиньте на мусорку свой дистрибутив, или соберите сами или ждите джва года, пока 20.04 появится.
    Не смотря на то, что openssl 1.1.1 ещё не выпустилась и её нет пока нигде, не считая нестабильных проектов (хз как ppa в бубне называются, в obs это проекты), но в 18.04 TLS 1.3 ожидать Вам точно не стоит.
     
     
  • 3.8, JVM Fanboy (?), 22:26, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Docker-Docker-Docker
     
  • 3.18, xl32 (ok), 00:48, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мы собираем для mainline веток для RHEL/CentOS статически с OpenSSL 1.1.1 pre 2 (с которой сейчас отгружается draft 23).
    https://codeit.guru/ru_RU/
     
  • 2.19, KonstantinB (ok), 00:56, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня есть PPA для 14.04 со статическим свежим openssl (делал для работы ALPN, в Trusty штатный openssl совсем древний). Это официальный пакет с nginx.org/packages (не люблю "дебианизированный" вариант), в котором манкипатчится debian/rules.

    Могу сделать такое же для 16.04, надо?

     
     
  • 3.25, Анону (?), 08:57, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, нет. Сам могу собрать. Заодно brotli туда прикручу.
     

  • 1.2, Аноним (-), 21:32, 17/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Реализован механизм Server Push для протокола HTTP/2, который предоставляет возможность отправки ресурсов от сервера к клиенту, не дожидаясь их явного запроса (например, подобным образом можно передавать баннеры и много других полезных вещей…
     
  • 1.5, Ilya Indigo (ok), 21:59, 17/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А почему нет новостей про Телеграм? Там уже целая Санта-Барбара раскручивается.
     
     
  • 2.7, A.Stahl (ok), 22:14, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Скучно. Ну телеграм, ну блокируют, ну дон Педро перспал с рабыней Марией и родился у них слепой... э-э-э... в общем глупо и уныло там всё...
     
  • 2.9, Gemorroj (ok), 22:43, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не понятно с чего драма, этих месенджеров уже как грязи. свято место пусто не бывает.
     
     
  • 3.11, Ilya Indigo (ok), 22:52, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > не понятно с чего драма, этих месенджеров уже как грязи. свято место
    > пусто не бывает.

    Есть _маленькая_ разница, между мало кому известными, глючными мессенджерами (tox, ring, matrix, wire) и самым популярными мессенджером в рунете, про который все знают и большинство людей используют, даже не смотря на то, что версия под linux глючная и не может звонить и отправлять голосовые сообщения.

     
     
  • 4.12, Аноним (-), 22:56, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >глючными мессенджерами (tox, ring, matrix, wire)
    >даже не смотря на то, что версия под linux глючная и не может звонить и отправлять голосовые сообщения

    А под Tox умеет, и десктоп показывать, и видео крутить.

     
     
  • 5.14, Ilya Indigo (ok), 23:20, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>глючными мессенджерами (tox, ring, matrix, wire)
    >>даже не смотря на то, что версия под linux глючная и не может звонить и отправлять голосовые сообщения
    > А под Tox умеет, и десктоп показывать, и видео крутить.

    Я год назад пробовал, как qTox умеет рабочий показывать и как оно видео умеет... Видео как раз показывало нормально, а вот разобрать речь было невозможно, как и что-либо на десктопе.
    И при этом идеальные условия для тестирования оба компа у одного провайдера с белыми реальниками и прямым подключением.

     
     
  • 6.16, Аноним (-), 00:46, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Оно год назад рабочий стол показывать неумело, лол. У меня все окей, у моих друзей/знакомых тоже.
     
     
  • 7.17, Аноним (-), 00:47, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Юзал как uTox так и qTox.
     
  • 4.13, Аноним тоже (?), 23:08, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да кому нужны эти звонки? Веб-версия отлично работает, можно переписываться, слать стикеры и даже слшушать аудиосообщения от тех, кому лениво тыкать кнопки. Никаких проблем не испытываю, но это всё здесь как-то оффтоп.

    Поэтому по теме: Где почитать хороший мануал по тонкой (или хоть какой-нибудь) настройке этого самого nginx, пусть и не самой последней версии даже?

     
     
  • 5.22, пох (?), 01:55, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Где почитать хороший мануал по тонкой (или хоть какой-нибудь) настройке этого самого nginx

    хоть какая-нибудь в виде вполне работающего примера идет в комплекте и лежит в %{sysconfdir}/nginx.conf.default
    в общем-то она покрывает все, что нужно анону, впервые настраивающему nginx на своем локалхосте, в том числе и типовой вариант php-fpm бэкэндом.

    нетиповые, но типичные (то есть специфика вротпресс/уeбитрикс/дрочпал) легко находятся гуглем, обычно недалече от сайтов самих этих чудо-систем.

    для анонов, которым этого мало - существует урыллиевская книжка и платные курсы.

    ну и для развлечения - можно поковырять примеры вот отсюда:
    http://kbeezie.com/nginx-configuration-examples/ (и около)
    только следует помнить про анекдот что не все методы программистов подходят админам, и читать документацию прежде чем копипастить оттуда недопонятые куски (в частности, весь этот ужас с if'ами - ни в коем разе)

     
  • 4.34, mumu (ok), 06:22, 19/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > самым популярными мессенджером в рунете, про который все знают и большинство людей используют

    Когда это телеграм успел обойти WhatsApp и Skype? Можно пруфы?

    Абсолютно все знакомые пользуются ватсапом, Манагеры некоторые предпочитают скайп (в основном из-за связи с работой, Lync и все дела). Телегой из них пользуется от силы 1-2 человека (недавние студенты).

     
  • 3.30, Аноним (-), 12:39, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > не понятно с чего драма, этих месенджеров уже как грязи.

    Так у тебя в нике же все написано. У толпы пользователей есть ты и тебя много.

    > свято место пусто не бывает.

    О да! Запретить ввоз иномарок - и все пересядут на ладу-калину. И прочие icq и MRA, которые то же самое по смыслу.

     
  • 2.24, Maxim Chirkov (ok), 08:40, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > А почему нет новостей про Телеграм? Там уже целая Санта-Барбара раскручивается.

    Нет желания в это болото влезать, это уже вышло за грань добра и зла в область клинических проявлений. Тем более, что несмотря на все эти блокировки и то, что вместе с ними поломали кучу всего, сам телеграм продолжат нормально работать без прокси и VPN.

    Но есть и ещё есть одна причина - не всё так гладко в телеграмме и не так бессмысленны попытки спецслуцжб получить у них серверные ключи шифрования. Если обычный чат между двумя пользователями в телеграм защищён, то с групповыми чатами у них беда - групповые коммуникации сделаны целиком через сервер с шифрованием только канала связи до него. На сервере телеграмм такие групповые чаты как на ладони. Но всё это нужно сильно перепроверять, подтверждать, реверсэнженирить.


    Вот например мнение Moxie Marlinspike (автор Signal, https://en.wikipedia.org/wiki/Moxie_Marlinspike)

    Telegram does no encryption at all for group messages, even though it advertises itself as an encrypted messenger, and even though Telegram users think that group chats are somehow secure. An attacker who compromises the Telegram server can, undetected, recover every message that was sent in the past and receive all messages transmitted in the future without anyone receiving any notification at all.... It's much more effective to be Telegram: just leave cryptography out of everything, except for your marketing.
    https://news.ycombinator.com/item?id=16117487

     
     
  • 3.27, Аноним (-), 10:04, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Но есть и ещё есть одна причина

    про это и надо писать, форум то технический. С максимальными подробностями и подтверждениями, ибо ОБС на эту тему везде достало. "защищенный" блин. Теперь то он распиарится дайбожЕ (не для мизерного российского рынка, конечно).

     
     
  • 4.29, Maxim Chirkov (ok), 10:39, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > про это и надо писать, форум то технический. С максимальными подробностями и
    > подтверждениями, ибо ОБС на эту тему везде достало. "защищенный" блин. Теперь

    Пока это всё основано на отдельных экспертных мнениях, полноценных независимых исследований безопасности протоколов Telegram я не видел.

    С самодельным протоколом MTproto у Telegram тоже всё мутно, непонятно, зачем они стали изобретать велосипед, который неизбежно сопряжён с хождением по граблям, а не взяли тот же проверенный протокол Signal. Независимый аудит для MTproto, насколько я помню, не проводился.

     
     
  • 5.31, Аноним (-), 12:52, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С самодельным протоколом MTproto у Telegram тоже всё мутно, непонятно, зачем они
    > стали изобретать велосипед, который неизбежно сопряжён с хождением по граблям,

    Однако описание велосипеда - публично выложено. И клиент опенсорс. И насколько я помню, таки как минимум чаты 1 на 1 шифруют относительно честно.

    Так что частично вроде бы топичная новость. Хотя серверасайд закрытый.

    Что до шифрования групчатов, это вообще очень тонкий топик. Кроме всего прочего - если в чатике толпа народа, вы не знаете кто есть кто, и толк от шифрования может быть достаточно маргинальный. Просто потому что активный атакующий в сколь-нибудь популярном чатике незаметно придет, пристроится в уголке и будет читать все что захочет.

    > а не взяли тот же проверенный протокол Signal.

    TLS/SSL тоже как бы "проверенный", но это не мешает ему быть "мутным" в куче мест и обладать кучей дыр.

    А так телеграм сделан немного по хипстерски и таки хипстеров жизнь учит чего делать не надо. Ну там всякую привязку к телефонным номерам, например - легко перехватывается всеми желающими и подставляет безопасность от и до. SS7 вообще не защищен ни от чего и никак.

     
  • 3.36, Ilya Indigo (ok), 19:04, 21/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарю Вас, Максим, за Ваш подробных ответ!
    Я понял Вашу позицию, она обоснована, и ничего против неё не имею.

    Для тех, кому интересно, я просто оставлю ссылку на чтиво здесь.
    https://tproger.ru/news/telegram-timeline

     
  • 2.35, Mihails (?), 22:36, 19/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть уже люди, которые пытаются  кардинально решить проблему и хотят создать меш сеть, которая будет сочетать в себе преимущества  QSPN протокола в Netsukuku и блокчейна (для поощрения создания нод которые будут соединять между собой меш острова). Подробная инфа на этом видео. https://www.youtube.com/watch?v=03ffhMyndx8
    Требуется информационная поддержка. Нужно привлечь как можно больше технических специалистов, работающих в сфере телекоммуникаций, программистов и математиков (они нам тоже очень нужны для курения мануалов https://github.com/lukisi/documentation Мы их планируем переводить с Итальянского на русский и переписывать код с Vala на С++ ). Пожалуйста, отнеситесь к этой информации серъезно, не забрасывайте шапками. Мы делаем то, что поможет однажды справиться с цензурой, слежкой и всем тем, что уже наболело. Помогите советами и компетентными комментариями. Спасибо.
    Наш канал тут  https://t.me/rigas_rezgtikl
     

  • 1.6, Аноним2 (?), 22:08, 17/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Внесены исправления в обработку дат до 1970 года и после 10000 года - вот это размах :)
     
     
  • 2.10, Аноним (-), 22:48, 17/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ухх, вовремя успели. А то уж 10000-й год на носу, а поддержки всё не было.
     
  • 2.15, McCloud (?), 00:04, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > после 10000 года

    What do you have against my patch, you mayfly?

     
     
  • 3.26, Аниним (?), 09:58, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно, когда не умеющие в английский пытаются им щегольнуть)
     
     
  • 4.28, Аноним (-), 10:06, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Забавно, когда не умеющие в английский пытаются им щегольнуть)

    They are just smart peoples!

     
     
  • 5.33, Аноним (-), 03:12, 19/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    unbad
     
  • 4.32, McCloud (?), 13:20, 18/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Забавно, когда не умеющие в английский пытаются им щегольнуть)

    Оh yeah … tell us more, little mirthfull mortal.


     

  • 1.20, Аноним (-), 01:08, 18/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уже в Gentoo и Mageia:

    https://repology.org/metapackage/nginx/history

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру