Состоялся (http://www.mail-archive.com/announce@httpd.apache.org/m...) релиз HTTP-сервера Apache 2.4.25 (http://httpd.apache.org/), в котором представлено 64 изменения (http://www.apache.org/dist/httpd/CHANGES_2.4.25), 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сбокой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.
Из изменений можно отметить:
- Устранено 5 уязвимостей:
- CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle). Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);- CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
- CVE-2016-5387 - уязвимость под кодовым названием Httpoxy, позволяющая (https://www.opennet.me/opennews/art.shtml?num=44809) совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;- CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая (https://www.opennet.me/opennews/art.shtml?num=45627) осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;
- CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;
- В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;
- В mod_socache_memcache обеспечен вывод статистики memcache через mod_status;
- Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
- В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:";- Добавлена директива RegisterHttpMethod для регистрации нестандартных методов HTTP;
- В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в memcached;
- В mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;- В mod_http2 добавлена директива 'H2PushResource' для включения ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
- В mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
- В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);- Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса;
- В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через TLS.
URL: http://www.mail-archive.com/announce@httpd.apache.org/m...
Новость: http://www.opennet.me/opennews/art.shtml?num=45757
Кроме хостингов, его реально ещё кто-то юзает в продакшене?
да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо документированный веб-сервер с открытым кодом?
Да, есть несколько. Минимум ещё 3.
> Да, есть несколько. Минимум ещё 3.Вы используете сразу 4 веб-вервера? Матёро!--
Где он написал, что он использует 4 сервера? Он написал, что есть еще 3, минимум.
>>Минимум ещё 3.Nginx.. а еще?
а назовите пожалуйста, только не пишите реверс-прокси nginx и lighttpd, которые прекрасно отдают статику и кешируют, но на "мощный веб-сервер" (я выше именно так и написал) не тянут, и могут лишь раздавать веб-контент, сгенерированный где-то еще (да, я знаю, что для nginx можно написать логику на lua или модуль на C, который будет что-то генерить, но мощному веб-серверу такое явно ни к чему).
Назовите ваши критерии "мощного веб-сервера", а то гадать можно долго
Всё строго как в статья для профессионалов, если выдает больше 1 киловата, значит мощный!
А что у тебя там апач генерирует то, м? PHP, Perl/CGI? Дак то тоже не заслуга апача - апач только отдает то, что эти интерпретаторы сгенерили. Что вообще такое "мощный веб-сервер"? Чем апач лучше nginx/lighttpd, если апач так же отдает статику?
плюс апача - большое кол-во модулей
Что же за модули вы там всё юзаете, для типовых проектов, которые потом сервера ложат? :) Апач же жрёт, как не в себя.
> плюс апача - большое кол-во модулейТо же самое касается и nginx.
>> плюс апача - большое кол-во модулей
> То же самое касается и nginx.Согласен! Большое к-во модулей нжинкса -- плюс апача.
>> плюс апача - большое кол-во модулей
> То же самое касается и nginx.У апача больше :)
В nginx только недавно появилась возможность динамически подключать модули. И до сих пор некоторые модули можно собрать только статикой, пересобирая nginx каждый раз.
Апач до сих пор на каждого клиента форкается? Как можно это называть надежным и мощным, любой школьник-кульхакер Вася положит твой сайт. Либо выест твои бабульки со счёта, если ты в хорошо масштабируемом облаке сидишь. Что одинаково неприятно.Ещё и список дырок поражает воображение, ветке 2.4 уже 100 лет, а до сих пор столько дурацких ляпов. Здравствуй быстрый си!
> да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо
> документированный веб-сервер с открытым кодом?Остается только гадать, что вы подразумеваете под "мощный".
Могу предположить, что вы имеете в виду "может запускать php внутри себя", т.е. имеющий php_mod.
> Кроме хостингов, его реально ещё кто-то юзает в продакшене?Ещё дофига, или по старинке или просто он есть из коробки.
Но если учесть, сколько ещё используется в продакшене IIS, то apache выглядит не так плохо :)
Я юзаю в конторе, для работы внутренней СРМки самописной
https://imgur.com/a/UI6WL
Тож бот? ;-)
mod_php же не ту там
Я юзаю Apache на локалке
Использую потому, что привык и знаю все настройки. Не вижу пока смысла перепрофилироваться.
У энжинкса дефолтный конфиг гораздо меньше, и "под себя" его сделать гораздо проще, нету этого тупорылого тегоподобного синтаксиса, он не тянет с собой ничего, и пакет и бинарник гораздо меньше, как ни крути, памяти жрет меньше, вообще беспонятия на кой нужен апач, если это не какая-нибуть старая, 100 раз переделанная смска гвоздями прибитая к апачу.
Как только вам понадобится отдать функционал mod_rewrite "продвинутому" бизнес пользователю, который будет править его для правильного учёта рекламных компаний ( в т.ч. для перенаправления старых ссылок за которые заплачено ) вы вовсю ощутите разницу в настройках и стоимости реализации с помощью одного и другого инструмента.
не? http://nginx.org/ru/docs/http/ngx_http_rewrite_module.html
Ключевое слово было "отдать", то бишь речь об .htaccess, аналога которому в nginx нет.
> "продвинутому" бизнес пользователю,То есть хостинг. Как раз та ниша апача, где он ещё остался.
Хотя остается только гадать, накой бизнес пользователю держать сайт на шаред хостинге.
Особенно странно, что пользователь не боится пускать рекламный трафик на сервер с апачом :)А для ссылок, за которые заплачено, в nginx можно плодить сотни конструкций типа:
location = /old/path/page { return 301 /new/path/page; }
вы видимо еще в 90 живете. или не знаете нормальных хостеров.есть такой вид хостинга - где настроен и апач и nginx, есть ssh.
тем самым мы используем все плюшки apache и снижаем нагрузку с помощью nginx
тех. поддержка такого решения сравнима с шаредом, и у клиентов востребована т.к. не требуется настраивать свой VDS и тратится на админов.
> вы видимо еще в 90 живете. или не знаете нормальных хостеров.Вы видимо не правильно прочитали, что я написал, или прочитали, но не поняли.
Я сказал, что хостинг - это та ниша, где ещё осталось полно апача.
Но я не говорил, что на этих хостингах есть ТОЛЬКО апач и больше ничего.
суровые у вас пользователи - если лазят по .htaccess для такой простейшей операции.у нормальных людей это в cms реализуется или на уровне php в виде php массива [Src => Dest, ...]
или csv файла в две колонки - что было что стало.
Кто может проконсультировать по поводу переезда на https?
ddd