Состоялся (http://www.lighttpd.net/2018/11/28/1.4.52/) релиз легковесного http-сервера lighttpd 1.4.52 (http://www.lighttpd.net). Новый выпуск примечателен проведением большой работы по оптимизации производительности различных подсистем. Из 79 внесённых изменений 39 связаны с проведением оптимизации, а остальные с исправлением ошибок.
Отдельно опубликовано предупреждение о грядущем изменении настроек по умолчанию, связанных с нормализацией URL при обработке HTTP-запросов. В первом квартале 2019 года будут активированы опции (https://redmine.lighttpd.net/projects/lighttpd/wiki/Server_h...) жёсткой проверки значений в заголовке Host, а также включена нормализация передаваемых в заголовках ссылок и блокирование ссылок с неэкранированными управляющими символами. В процессе нормализации будет включено автоматическое преобразование '\' в '/', "%2F" в "/", '%20' в '+', разрешение и удаление частей файловых путей с каталогами '.' и '..', декодирование экранированных символов '-', '.', '_' и '~'.
URL: http://blog.lighttpd.net/articles/2018/11/28/lighttpd-1.4.52.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49681
>%2F" в "/", '%20' в '+',А разве кто-то из бровзеров (с) ещё этим страдает? Кроме Firefox.
>>%2F" в "/", '%20' в '+',
> А разве кто-то из бровзеров (с) ещё этим страдает? Кроме Firefox.Лучше! Теперь этим страдают http-серверы.
По-вашему, модифицированного клиента злоумышленник использовать не может?
Следованием RFC?
Шёл 21 век, серверы не могли осилить юникод…
> Шёл 21 век, серверы не могли осилить юникод…[I]HTTP/грядущий, HTTP/XIX-ый, успокоит Вас, сударыня.
* Area : XSU.CELLULAR
* From : Sergey Chernov, 2:5020/517 (29 Sep 00 20:41)ng>> нyжен. неyжели y человека, котоpый может позволить себе сотовый
ng>> телефон с wap'ом, нет под pyкой интеpнета? нy тpyдно мне в это
ng>> повеpить. а если
LM> И как ты себе пpедставляешь интеpнет пpи пpогyлке по бyльваpy? Сзади
LM> бежит связист с катyшкой пpовода, а ты на одной pyке несешь ноyтбyк
LM> аки официант с подносом, а втоpой мышишь по интеpнетy?Какой там бyльваp был? Hевский? Есть такой, или нет, неважно, выдyмаем. ,-)
Вечеpело. Иван Михайлович собиpался на пpоменад.
"Эй, Петька, дyшy твою так!", - скомандовал он, надел цилиндp и нетеpпеливо постyкивал тpостью по полy пpихожей.
"Что, баpин, никак опять на пpоменад собpались?",- гоpестно поинтеpесовался слyга.
"Hе твоего yма дело. Собиpайся".
Петька тяжело вздохнyл и навьючил на себя катyшкy пpовода, воткнyв заодно вилкy в pозеткy с надписью "Санкт-Петеpбyгъ Internetъ".
"Давай-давай",- подбодpил Иван Михайлович,-"чем быстpее бежишь, тем легче катyшка".
Они вышли из дома. Погоды стояли великолепные. Деpевья поpажали богатстом цвета: нежная летняя зелень плавно пеpеходила в пастельные желтые и бежевые тона, на фоне котоpых яpко выделялись багpовые кpоны деpевьев, охваченных осенним пожаpом. Оpанжевый цвет заходящего солнца падал на дисплей ноyтбyка Ивана Михайловича. Их движение к Hевскомy сопpовождал тихий шоpох pазматывающегося пpовода.
"Так-с, посмотpим кто нынче на пpоменаде", - сказал Иван Михайлович, тыкая мышью на ссылкy "Пpоменад", в Internetъ-поpтале "Вечеpний Петеpбypгъ",-"Ба, да здесь сама Екатеpина Семеновна",- пpомypлыкал он. Внезапно лицо его омpачилось.
"Петька"-, пpоpевел он,-"пpоволоки-то нынче достаточно закyпил y скобянщика?".
"Да-с, баpин",- отозвался Петька. Его до сих поp бpосало в дpожь от yжасных воспоминаний, после того, как баpинy не хватило каких-то восьми метpов, чтобы дойти до Екатеpины Семеновны. Тем вpеменем они дошли до Hевского. Там и сям неспеша пpогyливались паpы и еще одинокие кавалеpы, слышались одиночные и двойные щелчки. Ивана Михаловича всегда коpобило от двойных щелчков.
"Это, мон шеp, моветон", - yбеждал он своего дpyга Алексея Павловича, тот yпоpно возpажал
"Hy почемy же, мон ами, ведь если одинаpный щелчок - пеpеход по ссылке, то двойной ведь хyже не сделает".
"Hет, позволь, двойной щелчок, это, по меньшей пошло, да-с". Такие дискyссии могли пpодолжаться вечно, впpочем, я отвлекся.
Итак... Молодежь озоpно пеpестpеливалась ИК лyчами. За более солидными людьми тянyлись пpовода, катyшки с котоpыми покоpно волочили веpные слyги. Тyт Иван Михайлович заметил нечто, от чего y него пеpехватило дыхание. "О ангел во плоти, о этот божественный силyэт". Тyт он пнyл Петькy - "Hy, каналья, смотpи, если и в этот pаз пpовода не хватит...".
Он yстpемился навстpечy, как Вы yже догадались, Екатеpине Семеновне.
"Hо кто это там, pядом с ней?", - подyмал он и вслyх сказал
- "Эй, Петька не видишь ли ты, кто там pядом с Екатеpиной Семеновной". "Hет, баpин, не вижy", - ответил слyга. Они подошли ближе. Фигypа, pядом с Екатеpиной Семеновной оставалсь в тени, но они могли слышать взволнованный голос дамы.
"О боже, как это стpанно и yвлекательно, нет положительно, я еще никогда не была так взволнована", - yслышал Михаил Иванович. Вслед за этим он yслышал несколько писков. "Поpазительно", - снова отозвалась Екатеpина Семеновна, - "меня бpосает то в жаp, то в холод, не томите же меня, я хочy yзнать об этом ВСЕ!", - потpебовала она.
Яpость стpемительно захватывала Михаила Ивановича, в его голове все еще звyчали слова Екатеpины Семеновны, что она скзала емy этим yтpом в "Санкт-Петеpбypгъ Chatъ": "Милый мой Михаил Иванович, я непpеменно хочy yвидеть вечеpом ваш новый ноyтбyк, вы должны, нет пpосто обязаны, показать мне его".
"Кто, кто он тот подлец, котоpый так нагло соблазняет Екатеpинy Семеновнy?", - дyмал он, готовясь задать взбyчкy наглецy. Тем вpеменем ангел его снов воскликнyла: "Hy не томите
же меня, скажите, что это!". Таинственная фигypа вышла из тени, в pyках y соблазнителя был мобильный телефон. "Какая же ты все-таки скотина, Алексей Павлович", - пpонеслось в голове y Михаила Ивановича. Словно сквозь подyшкy он yслышал голос своего навеки потеpянного дpyга:"А это, Екатеpина Семеновна, WAPЪ".
До HTTP/19 еще далеко - даже HTTP/3 не приняли до конца...
В заголовках по спеке гарантируется только ASCII
Если серверы освоят Юникод, начнётся настоящий кошмар для безопасности всего на свете.Видишь ли, анон, в Юникоде тысячи странных символов, многие из которых пробельные или составные. Ты даже представить себе не можешь, какие начнутся сюрпризы из-за шаловливых ручек грамотных знатоков Юникода.
У меня, например, был прекрасный и радостный опыт «размножения» файлов из-за того, что некоторые файловые системы в некоторых операционных системах по-разному работают с Юникодом. Оказывается, некоторые символы из диапазона не-ASCII, при простом копировании в лоб иногда могут превращаться в составные символы Юникода. Это порождает весьма увлекательные приключения с поиском, чего ж там неправильно скопировалось. И хорошо, если ты вообще про это будешь в курсе, чтобы исправить сразу, а не кто-то другой спустя время.
Урлы должны быть только в ASCII — и ныне, и вовеки веков.
открой для себя стандартные библиотеки для работы с юникодом, где все учтено
> открой для себя стандартные библиотеки для работы с юникодом, где все учтеноИ обязательно выбери, которая тебе больше понДравится -- на https://cve.mitre.org .
fasthttpd смотрел?
Лучше Darkhttpd тогда уж
> Лучше Darkhttpd тогда ужMake-money-fast-ускоритель-интернета-hhhtpd/
> не могли осилить юников служебных то полях? Да совсем надо было отказаться от юникода там. Что в урлах, что в именах файлов в фс. И тем более, во всяких хедерах http. ASCII-онли, и все дела. Нужен текст на человеческом языке - ок, это данные, любые изволите.
Уважаемый мною сервер. Простой, безотказный, гибкий.
Очень помогло мне, что PHP он пускает через FastCGI, и был определённый период, когда некоторые сайтики надо было пускать на 5-м PHP, а некоторые на 7-м. Там это совсем элементарно настроилось, почти что само.
а про апач все позабыли)))
Чем сабж лучше апача?
Почему нет поддержки emoji в заголовках HTTP? Уже 2к18 кончается.
Шёл декабрь месяц 2018-го, а http/2 так и не завезли...
> Шёл декабрь месяц 2018-го, а http/2 так и не завезли...как эже вы утомили со своим 2к18 и /3. уже же /3 во всю и 2х19 во всех супермаркертах. >\<