Выпуск http-сервера lighttpd 1.4.52

29.11.2018 15:57

Состоялся релиз легковесного http-сервера lighttpd 1.4.52. Новый выпуск примечателен проведением большой работы по оптимизации производительности различных подсистем. Из 79 внесённых изменений 39 связаны с проведением оптимизации, а остальные с исправлением ошибок.

Отдельно опубликовано предупреждение о грядущем изменении настроек по умолчанию, связанных с нормализацией URL при обработке HTTP-запросов. В первом квартале 2019 года будут активированы опции жёсткой проверки значений в заголовке Host, а также включена нормализация передаваемых в заголовках ссылок и блокирование ссылок с неэкранированными управляющими символами. В процессе нормализации будет включено автоматическое преобразование '\' в '/', "%2F" в "/", '%20' в '+', разрешение и удаление частей файловых путей с каталогами '.' и '..', декодирование экранированных символов '-', '.', '_' и '~'.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49681-http

Ключевые слова: http, lighttpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.2, Qwerty (??), 16:47, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>%2F" в "/", '%20' в '+', А разве кто-то из бровзеров (с) ещё этим страдает? Кроме Firefox.

2.3, Andrey Mitrofanov (?), 16:57, 29/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
>>%2F" в "/", '%20' в '+', > А разве кто-то из бровзеров (с) ещё этим страдает? Кроме Firefox. Лучше! Теперь этим страдают http-серверы.

2.6, Аноним (6), 17:43, 29/11/2018 [^] [^^] [^^^] [ответить]	+2 +/–
По-вашему, модифицированного клиента злоумышленник использовать не может?

2.18, Аноним (18), 10:17, 30/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Следованием RFC?

1.7, Аноним (7), 17:51, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Шёл 21 век, серверы не могли осилить юникод…

2.9, Andrey Mitrofanov (?), 17:54, 29/11/2018 [^] [^^] [^^^] [ответить]	–2 +/–
> Шёл 21 век, серверы не могли осилить юникод… [I]HTTP/грядущий, HTTP/XIX-ый, успокоит Вас, сударыня.

3.16, бедный буратино (ok), 08:59, 30/11/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Area XSU CELLULAR From Sergey Chernov, 2 5020 517 29 Sep 00 20 41 ng ... большой текст свёрнут, показать

3.17, trolleybus (?), 08:59, 30/11/2018 [^] [^^] [^^^] [ответить]	–1 +/–
До HTTP/19 еще далеко - даже HTTP/3 не приняли до конца...

2.10, интеллигентный разработчик (?), 17:57, 29/11/2018 [^] [^^] [^^^] [ответить]	+3 +/–
В заголовках по спеке гарантируется только ASCII

2.11, КГБ СССР (?), 20:46, 29/11/2018 [^] [^^] [^^^] [ответить]

+8 +/–

Если серверы освоят Юникод, начнётся настоящий кошмар для безопасности всего на свете.

Видишь ли, анон, в Юникоде тысячи странных символов, многие из которых пробельные или составные. Ты даже представить себе не можешь, какие начнутся сюрпризы из-за шаловливых ручек грамотных знатоков Юникода.

У меня, например, был прекрасный и радостный опыт «размножения» файлов из-за того, что некоторые файловые системы в некоторых операционных системах по-разному работают с Юникодом. Оказывается, некоторые символы из диапазона не-ASCII, при простом копировании в лоб иногда могут превращаться в составные символы Юникода. Это порождает весьма увлекательные приключения с поиском, чего ж там неправильно скопировалось. И хорошо, если ты вообще про это будешь в курсе, чтобы исправить сразу, а не кто-то другой спустя время.

Урлы должны быть только в ASCII — и ныне, и вовеки веков.

3.14, Аноним (14), 07:01, 30/11/2018 [^] [^^] [^^^] [ответить]	–5 +/–
открой для себя стандартные библиотеки для работы с юникодом, где все учтено

4.20, Andrey Mitrofanov (?), 13:22, 30/11/2018 [^] [^^] [^^^] [ответить]	+/–
> открой для себя стандартные библиотеки для работы с юникодом, где все учтено И обязательно выбери, которая тебе больше понДравится -- на https://cve.mitre.org .

2.12, oni18 (?), 20:50, 29/11/2018 [^] [^^] [^^^] [ответить]	–2 +/–
fasthttpd смотрел?

3.13, kvaps (ok), 23:48, 29/11/2018 [^] [^^] [^^^] [ответить]	+/–
Лучше Darkhttpd тогда уж

4.21, Andrey Mitrofanov (?), 13:24, 30/11/2018 [^] [^^] [^^^] [ответить]	+/–
> Лучше Darkhttpd тогда уж Make-money-fast-ускоритель-интернета-hhhtpd/

2.22, Аноним (22), 14:25, 30/11/2018 [^] [^^] [^^^] [ответить]	+/–
> не могли осилить юнико в служебных то полях? Да совсем надо было отказаться от юникода там. Что в урлах, что в именах файлов в фс. И тем более, во всяких хедерах http. ASCII-онли, и все дела. Нужен текст на человеческом языке - ок, это данные, любые изволите.

1.19, Diozan (ok), 12:15, 30/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Уважаемый мною сервер. Простой, безотказный, гибкий. Очень помогло мне, что PHP он пускает через FastCGI, и был определённый период, когда некоторые сайтики надо было пускать на 5-м PHP, а некоторые на 7-м. Там это совсем элементарно настроилось, почти что само.

1.23, аноним3 (?), 18:36, 30/11/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а про апач все позабыли)))

2.25, anonymous (??), 15:15, 01/12/2018 [^] [^^] [^^^] [ответить]	+/–
Чем сабж лучше апача?

1.24, Аноним (24), 12:45, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Почему нет поддержки emoji в заголовках HTTP? Уже 2к18 кончается.

1.26, Аноним (26), 18:24, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Шёл декабрь месяц 2018-го, а http/2 так и не завезли...

2.27, Andrey Mitrofanov (?), 21:47, 01/12/2018 [^] [^^] [^^^] [ответить]	+/–
> Шёл декабрь месяц 2018-го, а http/2 так и не завезли... как эже вы утомили со своим 2к18 и /3. уже же /3 во всю и 2х19 во всех супермаркертах. >\<

игнорирование участников | лог модерирования

Добавить комментарий

Текст: