Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в PHP, проявляющаяся в CGI-режиме, opennews (??), 03-Май-12, (0) [смотреть все] PHP Nobody cares, Аноним (-), 22:37 , 03-Май-12, (1) –4 // кто-то юзает php в cgi режиме , lf (??), 11:33 , 04-Май-12, (49) +9 // Некрофилы и извращенцы Ну наконец то им прилетят серебряные пули , Аноним (-), 16:24 , 05-Май-12, (88) –2 Некоторые хостеры, которые орут что у них есть PHP 5 2 5 3 и 5 4, Georges (ok), 10:36 , 08-Май-12, (104) +1 PHP a fractal of bad design , Аноним (-), 22:42 , 03-Май-12, (2) +8 Так и надо всяким некроманам-извращенцам , Аноним (-), 22:45 , 03-Май-12, (3) Хм А я думал, что это штатная фича Теперь понятно, почему в документации ее хре, Аноним (-), 22:53 , 03-Май-12, (4) +20 // тож думал что это фишка както странно слышать это среди багов xD хо, Xasd (ok), 00:15 , 04-Май-12, (10) Ожидаемо , Аноним (-), 23:35 , 03-Май-12, (5) +2 жутькакое счастье, что у меня fcgi, codejumper (?), 23:47 , 03-Май-12, (6) У кого то еще CGI , jedie (?), 23:55 , 03-Май-12, (7)   // На самом деле судя по всему и PHP-скрипты под FastCGI тоже уязвимы, только экспл, Аноним (-), 00:08 , 04-Май-12, (8)   // Например, в дефолтовом примере к spawn-fcgi вызывается php5-cgi и теоретически д, Аноним (-), 00:13 , 04-Май-12, (9)   // А что, пыху там через командлайн параметры запроса передаются В cgi оно вот так, Аноним (-), 02:04 , 04-Май-12, (25)   Почитайте на досуге как работает CGI, командная строка там вообще не причём Fas, Аноним (-), 09:16 , 04-Май-12, (36)   Вы не правы Почитайте сами спецификации на CGI и FCGI, это разные протоколы , samm (ok), 11:14 , 04-Май-12, (44) +1   И и там и там запускаемое приложение, в нашем случае интерпретатор php со скрипт, Аноним (-), 12:14 , 04-Май-12, (56) +1   Прикольно гнать пургу с умным видом А если ман все-таки почитать, там таки напи, Аноним (-), 16:51 , 05-Май-12, (94) –1   При чем здесь протокол доставки, когда речь про обработку запроса на стороне при, Аноним (-), 23:23 , 05-Май-12, (98)   Вообще-то я читал спеки на оба и fast как-то совсем-совсем другой протокол , Аноним (-), 16:26 , 05-Май-12, (89)   Это я ступил, думал что ошибка в PHP сводится к тому, что он параметры в STDIN п, Аноним (-), 23:45 , 05-Май-12, (100)   Не командлайн, а STDIN , Аноним (-), 11:41 , 04-Май-12, (52) +1   да для вас наверно всё старое - дебильное и тормозное А для кого-то это этап в , terr0rist (ok), 23:04 , 04-Май-12, (67)   Все познается в сравнении Но некоторые дизайны просто галимы на уровне идеи Ст, Аноним (-), 16:29 , 05-Май-12, (90) +1   Ну не то чтобы принципиально невозможно, но некоторые вещи действительно удобней, angra (ok), 10:04 , 06-Май-12, (101)   очень разумная идея , arisu (ok), 15:47 , 06-Май-12, (102)   тут особой проблемы нет, можно поставить минимальное кол-во fcgi-процессов в 0 и, Аноним (-), 08:35 , 10-Май-12, (106)   hc ru - хостинг-центр РБК, FSA (ok), 11:19 , 04-Май-12, (46)   Очень многие российские хостинги включая самые крупные запускают php именно в , XoRe (ok), 00:17 , 04-Май-12, (11) +4 // Если именно CGI и даже не фаст - так и надо этим дебилам Естественный отбор Че, Аноним (-), 01:19 , 04-Май-12, (20) –7 // Для PHP нет другого пути разделения привилегий, если использовать mod_php, то вс, Аноним (-), 09:20 , 04-Май-12, (37) +2 // У Valuehost с этим проблем нет Когда-то давно на форуме webhostingtalk ru видел, FSA (ok), 11:35 , 04-Май-12, (50) Ох Проситите Столько запятых пропустил в тексте , FSA (ok), 11:38 , 04-Май-12, (51) +1 Ой, только Valuehost не вспоминайте, там был грязный хак с постоянной работой в, Аноним (-), 11:45 , 04-Май-12, (53) +2 php-fpm поможет отцу русской демократии Объявите столько пулов, сколько у вас п, Andrew Kolchoogin (?), 15:03 , 04-Май-12, (64) +1 Расходы есть по памяти среднее кол-во памяти на php-cgi-процесс 15М, при 1000 , Аноним (-), 03:11 , 05-Май-12, (71) mod_ruid же, erera22 (ok), 15:21 , 05-Май-12, (84) и правильно делают, кстати точно так же запускают и перл и питон и sh и всё о, terr0rist (ok), 23:15 , 04-Май-12, (68) +3 // Не ускориться, потому что всегда будет дофига тех, кто не осилил нормальные язык, Аноним (-), 18:13 , 07-Май-12, (103) Можно проблему эту решить через mod rewrite ну или другие rewriteры , jedie (?), 01:33 , 04-Май-12, (22) // или при помощи полного удаления php, это всяко надёжней , arisu (ok), 00:36 , 05-Май-12, (70) –1 // Если пойти чуть дальше, можно не подключать сеть Тогда хакеру придется притащит, Аноним (-), 16:37 , 05-Май-12, (92) качество кода php достаточно общеизвестно использовать ЭТО можно или от нечего , arisu (ok), 21:14 , 05-Май-12, (97) Это было бы так, но уязвимости подвержены далеко не все хостинги с PHP как CGI , solardiz (ok), 12:30 , 04-Май-12, (57) +2 http allvanyzatok hu phpinfo php, обратите внимание на Server API CGI Не уда, Аноним (-), 00:22 , 04-Май-12, (12) // во враппере exec usr bin php-cgi -- или вообще без параметров, Аноним (-), 01:40 , 04-Май-12, (23) +2 // Спасибо, работает воркэрраунд bin dashexec usr lib cgi-bin php5 -- Прост, Etch (?), 08:40 , 04-Май-12, (35) // Вы все-равно не сможете безнаказанно занять эту память - под угрозой облома выпо, Аноним (-), 17:23 , 05-Май-12, (95) Из скрипта никак не узнаешь как запущен PHP, как FCGI или просто CGI Поэтому в , Diden05 (ok), 03:47 , 04-Май-12, (29) кроме -s чтонибудь полезное получилось выполнить ато например --run 3D, Xasd (ok), 00:38 , 04-Май-12, (13) // 22 3B может закрываться так должно А не наоборот , LostAlly (?), 00:44 , 04-Май-12, (14) // понял в чём дело нет такого параметра в php-cgi там только code php-cg, Xasd (ok), 00:53 , 04-Май-12, (16) // или всётаки я НЕ понял ведь --syntax-highlight тоже работает, Xasd (ok), 00:54 , 04-Май-12, (17) –1 кстате говоря напоминаю, что чтбы передать ДВА параметра, их нужно разделить зна, Xasd (ok), 01:08 , 04-Май-12, (18) // вот успешно получившийся пример -d memory_limit 3D20Mэтот параметр уменьшает ли, Xasd (ok), 01:22 , 04-Май-12, (21) // дык, allow_url_include и в добрый путь, Аноним (-), 01:55 , 04-Май-12, (24) почемуто не выходет даже с ней - - - единственное что удачно вышло с a, Xasd (ok), 02:13 , 04-Май-12, (26) а может быть можно както создать типа ERROR LOG какойнить и внутри этого файла, Xasd (ok), 02:17 , 04-Май-12, (27) покачто не вижу пути подставить внутрь error log php хоть какуюто полезную и, Xasd (ok), 02:54 , 04-Май-12, (28) работает если вместо php забить http i php -d allow_url_include 3d1 -d aut, akrylasov (?), 00:30 , 05-Май-12, (69) This setting requires allow_url_fopen to be on , Аноним (-), 10:00 , 04-Май-12, (38) а ещё можно предположить, что сервера на которых я экспериментировал -- имеют ip, Xasd (ok), 11:28 , 04-Май-12, (47) dork Server API CGI inurl info php - CGI FastCGI и не работает нигде -s, mikevmk (??), 00:47 , 04-Май-12, (15) И, по традиции, пачт уязвимость не устраняет, а немного видоизменяет - параметры, Аноним (-), 01:18 , 04-Май-12, (19) +2 DOS-ить можно -T 2010000, PavelR (ok), 04:53 , 04-Май-12, (30) php 8212 глобально и надёжно , arisu (ok), 07:36 , 04-Май-12, (33) +3 nginx org ещё раз подтверждает свои плюсы использования php без apache , CSRedRat (ok), 10:15 , 04-Май-12, (39) +1 // nginx головного мозга Нефиг некрофилить по CGI , AlexAT (ok), 10:33 , 04-Май-12, (40) –1 // Я конечно, не совсем распарсил тонкого сарказму предыдущего оратора, но предпол, Andrey Mitrofanov (?), 10:59 , 04-Май-12, (42) +1 плюс у него есть в том что он все еще не может htaccess , Sas (ok), 10:49 , 04-Май-12, (41) –2 // Совувствуем _Вашим мучениям В след раз голубые ленточки начнём раздавать , Andrey Mitrofanov (?), 11:01 , 04-Май-12, (43) Т е из-за такой мелочи вы тянете за собой монстра Apache Да, понимаю, в nginx , FSA (ok), 11:18 , 04-Май-12, (45) // вы это скажите программистам битрикса или после каждого их костыля мне лезть в к, Sas (ok), 11:30 , 04-Май-12, (48) Выкиньте битрикс, вместе с программистами Когда глобальный движок заточен под , EuPhobos (ok), 11:53 , 04-Май-12, (54) Это поделие обкуренных бабуинов только могила исправит Почему-то все кто имел с, Аноним (-), 16:42 , 05-Май-12, (93) +1 открой для себя mpm-itk и будет тебе счастье, ALex_hha (ok), 11:58 , 04-Май-12, (55) +1 // OK А как крутить несколько версий php на одном сервере , Аноним (-), 12:46 , 04-Май-12, (59) // В принципе ничто не мешает собрать несколько модулей с разными именами модуля, и, AlexAT (ok), 13:01 , 04-Май-12, (60) Я чего-то не понимаю Почему нельзя во врапере вместо bin sh usr data wrappers, Аноним (-), 12:44 , 04-Май-12, (58) +1 // Тогда путь до скрипта не получит , anonymous (??), 14:09 , 04-Май-12, (61) // Хотя, впрочем, должен получить через SCRIPT_FILENAME , anonymous (??), 14:33 , 04-Май-12, (63) Мне другой вопрос гораздо интереснее разве всё, что после идёт, не должно п, anonymous (??), 14:14 , 04-Май-12, (62) // php-cgi путь до скрипта получает через переменную окружения В всегда наход, Аноним (-), 18:16 , 04-Май-12, (65) php, такой php , Test (?), 18:49 , 04-Май-12, (66) +1 // в win32 на проверяемом сервере оказалось, что запуск производится вообще просто , Аноним (-), 12:26 , 05-Май-12, (74) // Чуть ошибся я в проверке Действительно, как и указано в спецификации CGI, если , Аноним (-), 17:49 , 05-Май-12, (96) Дак просто используем следующий врапер, а не php-cgi сам usr bin php-cgiи проб, Аноним (-), 07:06 , 05-Май-12, (72) +1 Или для винды phpcgi cmd echo offc php php-cgi exe, Аноним (-), 12:20 , 05-Май-12, (73) В связке nginx php-fpm все спокойно, ничего воспроизвести не удалось Можно спат, Юрий (??), 14:08 , 05-Май-12, (75) Cкрипты, выполняемые с использованием mod_php и FastCGI например, связки ngin, Алексей Добров (?), 14:32 , 05-Май-12, (76) // например для одновременной работы разныхверсий пхп , Аноним (-), 14:38 , 05-Май-12, (77) // И как часто требуется одновременная работа разных версий PHP , Алексей Добров (?), 14:44 , 05-Май-12, (78) // на хостингах - бывает , Аноним (-), 14:52 , 05-Май-12, (79) Ну, вообще говоря, обычно на хостингах в случае apache это решается одной стро, Алексей Добров (?), 15:03 , 05-Май-12, (81) строчку покажите, Аноним (-), 15:15 , 05-Май-12, (83) Например, так AddType application x-httpd-php53 phpСм http prog-school ru 2, Алексей Добров (?), 15:21 , 05-Май-12, (85) ну это только с юзерской стороны одна строчка mod_php не обеспечивает должног, Аноним (-), 15:46 , 05-Май-12, (86) Не часто, но бывает Мне вот на днях пришлось перенести на свой сервер два проект, Юрий (??), 14:58 , 05-Май-12, (80) Да уж, веселые приключения Но все же Вам для этого не потребовалось запускать, Алексей Добров (?), 15:14 , 05-Май-12, (82) Ну это если только религия не позволяет заменить php5_module на php51_module, ph, AlexAT (ok), 16:11 , 05-Май-12, (87) На некоторых sharing-хостингах это обычная практика , Аноним (-), 23:30 , 05-Май-12, (99) // if query_string getenv QUERY_STRING NULL strchr query_string, , Аноним (-), 12:33 , 09-Май-12, (105) Критическая уязвимость в PHP. Обновления PHP 5.3.12 и PHP 5...., Аноним (107), 08:59 , 23-Дек-13, (107) 1,2,3,4,5,6,7,11,12,13,15,19,30,33,39,55,58,66,72,73,75,76,107

Сообщения

[Сортировка по времени | RSS]

7. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
Сообщение от jedie (?), 03-Май-12, 23:55
У кого то еще CGI?
Ответить | Правка | Наверх | Cообщить модератору

	8. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 04-Май-12, 00:08
	На самом деле судя по всему и PHP-скрипты под FastCGI тоже уязвимы, только эксплуатировать можно если попасть в первый запрос при запуске нового FastCGI-процесса. Но здесь всё очень сильно зависит от конфигурации и способа запуска PHP под FastCGI.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 04-Май-12, 00:13
	> На самом деле судя по всему и PHP-скрипты под FastCGI тоже уязвимы, > только эксплуатировать можно если попасть в первый запрос при запуске нового > FastCGI-процесса. Но здесь всё очень сильно зависит от конфигурации и способа > запуска PHP под FastCGI. Например, в дефолтовом примере к spawn-fcgi вызывается php5-cgi и теоретически должно сработать.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 04-Май-12, 02:04
	> Например, в дефолтовом примере к spawn-fcgi вызывается php5-cgi и теоретически должно сработать. А что, пыху там через командлайн параметры запроса передаются? В cgi оно вот так вот, ибо дебильный древний и тормозной протокол с форком обработчика на каждый реквест и передачей ему параметров через командлайн + редиректом вывода. Что делает этот идиотизм крайне паршивым с точки зрения нагрузки и безопасности: кто угодно может вам провоцировать довольно тяжелый форк процесса оптом извне, что уже хорошая заявка на победу. А у фаста ж постоянно висяшие процессы + свой протокол для передачи параметров. Не догоняю как сие должно в нем срабатывать?
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 04-Май-12, 09:16
	Почитайте на досуге как работает CGI, командная строка там вообще не причём. FastCGI отличается от CGI только дополнительным циклом обработки запросов, чтобы каждый раз заново процесс не запускать, в остальном всё идентично.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+1 +/–
	Сообщение от samm (ok), 04-Май-12, 11:14
	Вы не правы. Почитайте сами спецификации на CGI и FCGI, это разные протоколы.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+1 +/–
	Сообщение от Аноним (-), 04-Май-12, 12:14
	И и там и там запускаемое приложение, в нашем случае интерпретатор php со скриптом, получает аргументы через стандартный ввод и переменные окружения. В логике работы разница только в цикле. То что отличаются методы доставки запроса (стандартный ввод/вывод vs UNIX или TCP сокет) большой роли в рассматриваемой ситуации не играет, на уровне приложения вся обработка параметров запроса идентична.
	Ответить | Правка | Наверх | Cообщить модератору

	94. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	–1 +/–
	Сообщение от Аноним (-), 05-Май-12, 16:51
	> рассматриваемой ситуации не играет, на уровне приложения вся обработка параметров запроса > идентична. Прикольно гнать пургу с умным видом? А если ман все-таки почитать, там таки написано что это совершенно разные протоколы. В частности, для особо упорных дятлов я замечу что fastcgi-сервер взлетает без каких либо сакральных знаний о запросах и лишь вывешивает сокет - для взаимодействия по собственному протоколу с фронтэндом. И все. А все запросы рюхаются через тот протокол и сокет уже. Ну то-есть обычный такой постоянно живущий бэкэнд не перезапускаемый на каждый запрос. По поводу чего он и fast, собственно. Да, для кулхаксоров собравшихся это ломать - http://www.fastcgi.com/devkit/doc/fcgi-spec.html Таки объясните мне как выглядит хак, при том что бэкэнд фаста запускается и ждет коннекций от фронтэнда? Спиди-гонщики :)
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 05-Май-12, 23:23
	> Прикольно гнать пургу с умным видом? А если ман все-таки почитать, там таки написано что это совершенно разные протоколы. При чем здесь протокол доставки, когда речь про обработку запроса на стороне приложения  ? HTTP и HTTPS тоже разные протоколы. > А все запросы рюхаются через тот протокол и сокет уже. Для приложения обработка таких запросов абсолютно идентична, что при CGI, что при FastCGI. Не важно что под капотом, для приложения обработка будет одинакова, весь перевод приложения от CGI к FastCGI сводится к добавлению цикла и подключению FCGI-библиотеки.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 05-Май-12, 16:26
	> Почитайте на досуге как работает CGI, командная строка там вообще не причём. > FastCGI отличается от CGI только дополнительным циклом обработки запросов, Вообще-то я читал спеки на оба и fast как-то совсем-совсем другой протокол. > чтобы каждый раз заново процесс не запускать, в остальном всё идентично. ... кроме того что нет собственно запуска и передачи параметров, все делается через свой протокол обмена. Ну а раз нет запуска - то как вы, черт возьми, проэксплуатируете запуск?! :)
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	100. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 05-Май-12, 23:45
	Это я ступил, думал что ошибка в PHP сводится к тому, что он параметры в STDIN парсит как параметры командной строки. Оказалось, действительно, СGI когда в запросе нет "=" передаёт параметры через командную строку: 4.4.  The Script Command Line    Some systems support a method for supplying an array of strings to    the CGI script.  This is only used in the case of an 'indexed' HTTP    query, which is identified by a 'GET' or 'HEAD' request with a URI    query string that does not contain any unencoded "=" characters.  For    such a request, the server SHOULD treat the query-string as a    search-string and parse it into words, using the rules       search-string = search-word *( "+" search-word )       search-word   = 1*schar       schar         = unreserved | escaped | xreserved       xreserved     = ";" | "/" | "?" | ":" | "@" | "&" | "=" | "," |                       "$"    After parsing, each search-word is URL-decoded, optionally encoded in    a system-defined manner and then added to the command line argument    list.    If the server cannot create any part of the argument list, then the    server MUST NOT generate any command line information.  For example,    the number of arguments may be greater than operating system or    server limits, or one of the words may not be representable as an    argument.    The script SHOULD check to see if the QUERY_STRING value contains an    unencoded "=" character, and SHOULD NOT use the command line    arguments if it does.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+1 +/–
	Сообщение от Аноним (-), 04-Май-12, 11:41
	> протокол с форком обработчика на каждый реквест и передачей ему параметров через командлайн Не командлайн, а STDIN.
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	67. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от terr0rist (ok), 04-Май-12, 23:04
	> дебильный древний и тормозной протокол да для вас наверно всё старое - дебильное и тормозное. А для кого-то это этап в развитии. Тем более CGI позволяет делать кое-что, чего другие не могут в принципе. Дебилизм - это применять ко всем мерку "если это велосипед, то он по умолчанию хуже моего лексуса". Даже если велик и "тормознее". (Не говоря уже о том, что на современных серваках с современными скриптами все эти форки и передача аргументов занимают 0.0001% процессорного времени)
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	90. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+1 +/–
	Сообщение от Аноним (-), 05-Май-12, 16:29
	>> дебильный древний и тормозной протокол > да для вас наверно всё старое - дебильное и тормозное. Все познается в сравнении. Но некоторые дизайны просто галимы на уровне идеи. Столь же безблагодатная идея как форки процессов в апаче. > Тем более CGI позволяет делать кое-что, чего другие не могут в принципе. Например? Очень интересно :) > все эти форки и передача аргументов занимают 0.0001% процессорного времени) Ага. Пока не придет Вася Пупкин и не пустит туда ab2 какой-нибудь. Порсле чего Васин нетбук на раз укладывает многопроцессорный ксеон. Потому что ему только конекцию сделать, а серваку - отдуваться по полной: форкануть процесс, обработать запрос, ... :)
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от angra (ok), 06-Май-12, 10:04
	>> Тем более CGI позволяет делать кое-что, чего другие не могут в принципе. > Например? Очень интересно :) Ну не то чтобы принципиально невозможно, но некоторые вещи действительно удобней через cgi, чем через fcgi. Например когда cgi скриптов(или вообще бинарников) много, но каждый из них запускается редко, а значит держать его в памяти в виде постоянного fcgi процесса особого смысла не имеет. Особенно хорошо, когда все эти скрипты недоступны без http авторизации. >> все эти форки и передача аргументов занимают 0.0001% процессорного времени) >Ага. Пока не придет Вася Пупкин и не пустит туда ab2 какой-нибудь. Порсле чего Васин нетбук на раз укладывает многопроцессорный ксеон. Потому что ему только конекцию сделать, а серваку - отдуваться по полной: форкануть процесс, обработать запрос, ... :) Если сравнить это с оверхедом https, то не так уж много получится. Может и от https отказаться? Ну и неплохо было бы понимать, что с точки зрения конечного пользователя абсолютно фиолетово почему не открывается страничка - из-за перегрузки сервера запусками интерпретаторов(а ведь cgi может быть и шустрым бинарником) или из-за превышения лимитов на соединения и/или количество fcgi процессов.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от arisu (ok), 06-Май-12, 15:47
	> Может и от https отказаться? очень разумная идея.
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от Аноним (-), 10-Май-12, 08:35
	>>> Тем более CGI позволяет делать кое-что, чего другие не могут в принципе. >> Например? Очень интересно :) > Ну не то чтобы принципиально невозможно, но некоторые вещи действительно удобней через > cgi, чем через fcgi. Например когда cgi скриптов(или вообще бинарников) много, > но каждый из них запускается редко, а значит держать его в > памяти в виде постоянного fcgi процесса особого смысла не имеет. Особенно > хорошо, когда все эти скрипты недоступны без http авторизации. тут особой проблемы нет, можно поставить минимальное кол-во fcgi-процессов в 0 и таймаут жизни fcgi-процесса, скажем в 5-ть минут. если за пять минут обращений не было, то процесс умрет освободив память. минус только один: настройки fcgi сложнее, чем cgi, писать ручками много больше.
	Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

	46. "Критическая уязвимость в PHP, проявляющаяся в CGI-режиме"	+/–
	Сообщение от FSA (ok), 04-Май-12, 11:19
	hc.ru - хостинг-центр РБК
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема