Опубликован релиз HTTP-сервера Apache 2.4.56, в котором представлено 6 изменений и устранено 2 уязвимости, связанные с возможностью проведения атак класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющих вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для обхода систем ограничения доступа или подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58761
Лучший http сервер. Модули, скорость, удобные конфиги -- всё при нём. One love.
Про скорость этого утюга хорошая шутка.
Нжинкс уже давно отстаёт даже от апача, добро пожаловать в 2023 год.
> Нжинкс уже давно отстаёт даже от апачаСанитар! Пилюлю!
Не можешь свыкнутся с объективной реальностью табами до сих пор закидываешься?
Начни изучать тормознутость nginx хотя бы с непредвзятых тестов https://www.opennet.dev/opennews/art.shtml?num=58323
> (без оптимизаций в конфигурации как есть)Яснопонятно.
> (нет ссылки на исходники бенчмарка, нигде нет опубликованных конфигов серверов)
Поверим им на слово! Тем более, если это по сути единственный в интернете бенчмарк, где нгинкс не на первом, а на последнем месте, в комментариях статейки никого нет, интернет эту статью вообще не заметил -- все равно поверим на слово!
В твоём воображаемом интернете? Дело не в том на каком нжинкс месте. Дело в том что Апач быстрее нжинкса и пусть даже он не такой быстрый как hinsightd.Просто чтобы все видел правильные цифры выгладят так:
• Apache/2.4.54 - 37474.10 запросов в секунду (34305.55)
• Caddy/2.6.2 - 35412.02 запросов в секунду (33995.57)
• nginx/1.23.2 - 26673.64 запросов в секунду (26172.73)
> Просто чтобы все видел правильные цифры выгладят так:Правильные цифры, высосанные из пальца и из других известных мест. Где конфиги серверов? С какими опциями собирались сервера? Где логи сборки? Где спецификации хардвари и окружения?
Ты по ссылкам перейти не можешь? Там все написано и полностью доступно объяснено.
Единственное что можно сказать что автор пиарил свой hinsightd. Так что ему нет смысла приукрашивать другие результаты, ему нет дела кто быстрее апач, кадди или нжинкс. Он всегда напишет реальные цифры по ним.Ты просто не можешь свыкнутся с просто мыслью. Апач быстрее нжинкса.
> Ты по ссылкам перейти не можешь?По каким ссылкам? Их нигде нет, аффтар просто скинул прикольную табличку, которую заполнял в пьяном угаре. Никаких ссылок он не оставил. Чтоб ты оценил масштаб того, как делаются тру™ бенчмарки -- на, зацени:
https://openbenchmarking.org/test/pts/nginx
https://openbenchmarking.org/test/pts/apacheТам гигантское количество переменных, но ты попробуй подобрать максимально близкие таким образом, чтобы создавалась иллюзия, будто апач хоть как-то сопоставим с высокоскоростным нгинксом.
> пусть даже он не такой быстрый как hinsightd
> Planned features
> (...) multithreadingИ как у него без многопоточности быстрота при десятках тысяч клиентов?
Никак это сервер под синтетические тесты, показать смотрите как я могу. Оно и понятно остальные сервера и апач и нжинкс должны тащить своё легаси. А у нжинкса и вовсе кор разработчик ушел. А те что есть в нжинксе занимаются навешиванием розовых свистелок, а не основной функциональностью. Оно и понятно что эти свистелки просадят производительность рано или поздно. Апач в этой сфере идет своей дорогой как шел, он и легаси поддержит и уязвимости закроет и придумает как работать быстрее.А с нуля если писать сервер и можно вообще любую цифру выбить, хоть io_uring используй, хоть в само ядро допишись и статике раздавай не с диска, а просто вкомпиль в само приложение пусть он сразу из оперы раздаёт.
Да не переживай ты, болезный, так за Nginx. Лн живее всех живых, но теперь уже отечественный, каким и был раньше, и название чуток другое - Angie (https://www.opennet.dev/opennews/art.shtml?num=58036)
Вот спасибо, буду показывать всем любителям смузи когда меня опять назовут никчёмным экспертом
Чего шутка-то? У апача есть mpm_event, который для проксей и статики приближает его к нгинху.
Но в отличие от нгинха апач легко переконфигурируется и под работу с динамикой, и под многое прочее.
Т.е. гетерогенность. Хочешь шустрее - event и треды. Хочешь динамику, которая в треды не умеет - заводишь с префорком. Нгинх, который умеет только одну модель работы - в итоге не нужен.
>Релиз http-сервера Apache 2.4.56 с устранением уязвимостейЭто, конечно, замечательно. А индейцам нравится это? Была новость про индейцев, что-то никаких обнов.
Индейцам не нравится, но кто их слушает, у них юрист плохой.
Специальный проект для поддержки пенсионеров в IT. В современном вебе статический контент раздают из S3 через CDN, в обоих случаях это специализированные демоны, написанные для оптимального решения одной узкой задачи. API-бэкэнд сам себе http-сервер. За вычетом недодушенного легаси, время http-серверов ушло, теперь это не более чем идея проекта уровня todo list для изучения языка. Nginx ещё трепыхается как балансировщик нагрузки и обратный прокси, но даже в сравнении с HAProxy это выглядит просто смешно, не говоря уже про Envoy. Помянем.
> идея проекта уровня todo list для изучения языка.и мы знаем, какого языка изучения.
А через 20 лет очередной аноним на опеннете напишет в точности то же что и Вы сейчас думая что открывает Америку :)Между тем и сейчас и через 20 лет миллионы сайтов на WP и Битрикс будут продолжать работать на nginx + apache !
Миллионы локалхостов с 3½ посетителями, из которых два — мама и папа могут на чём угодно работать, хоть на SSI, это всё мало кому интересно. В проде апачи с нжинксами вижу только в контексте выкидывания при миграции в клауд.
> Миллионы локалхостов с 3½ посетителями, из которых два — мама и папа
> могут на чём угодно работать, хоть на SSI, это всё мало
> кому интересно. В проде апачи с нжинксами вижу только в контексте
> выкидывания при миграции в клауд.1.
Вы в курсе что занимаясь формошлёпством на узеньком участке в соковыжималке моветон причислять себя к его величеству продакшену ?
2.
Вы в курсе что любой сайт на WP с apache и nginx про красно-жёлтых вертипопых камнеежек даже с минимальной посещаемостью (пет-проект) если сделан с любовью и наполняется энтузиастами в 100500 матери-истории более ценен чем ваш очередной облачный монстр по перепродаже товаров из Китая ?
Как это мило и по-опеннетовскм наивно — рассказывать про Битрикс и обвинять кого-то в формошлепстве.Про перепродажу из Китая придётся тебе развернуть, не понял при чём тут это. И про ценность рынка пет-проектов.
> Про перепродажу из Китая придётся тебе развернуть,клауды именно для того и используются. более важные данные им не доверяют.
при этом на амазоне не стоит разворачивать даже перепродажу китайхлама.
хитрецы грепают базы, память и корректируют свои цены так чтобы они были выгоднее.
Да ты поехавший. Пока протокол HTTP не закопали, будут и вебсерверы.
>API-бэкэнд сам себе http-серверAPI без шлюза (реверс прокси) только при локальной отладке используется.
И шлюзом этим в проде выступает отнюдь не апач, увы и ах.
Для простейшего сайта на WordPress или просто HTML можно будет продать гору облачных сервисов, в т.ч. S3 ))
Для простейшего сайта ВордПресс не нужен. Для сложного тоже. Так, артефакт прошлого для пенсионеров.
Ага, теперь модняво простой сайт сделать в виде одной страницы с дерганой прокруткой вместо нормальных ссылок, пасередине разместить телефон и "для заказа услуги звоните в бубен".Даже прием совершенно банальных разовых заказов сделать (я молчу уж про полноценные учетки для клиентов с возможностью управлять своими заказами) - слишком сложно и много возни. Да и зачем вам, по телефону вон давайте. Еще можно чяаааатик с роботом запилить.
При этом телефонисты, кстати, до такого мусора еще не выродились - по этому самому телефону вполне может внезапно найтись сквозная автоматическая авторизация и много еще интересного. А сайтик - просто бесполезная финтифлюшка.
А ссылку на оплату мы вам в sms пришлем. Или вот - всосап.
Еще десяток лет назад до такого маразма только совсем рога и копыта опускались. Сейчас - каждый второй (да и то за счет тех у кого все это вот те десять лет и работает без изменений)
А вот и первый пенсионер, бенефициар программы. Раньше было лучше и заслуга в этом исключительно Апача, я правильно понял? Он и от страниц с дёрганой прокруткой защищал, и от скаммерсантов, и не заставлял престарелых людей ставить вотсап. Печально, что в ваших краях до сих пор так принято. В наших как раз всё куда приличнее, даже у совсем мелкого бизнеса — форма обратной связи, емейл, телефон с человеком, человек имени представляется, инвойсы по форме шлёт и прочие радости развитого капитализма. Ты вроде наиценнейший специалист широчайшего профиля с глубочайшими знаниями во всех предметных областях, судя по твоим же комментам на опеннете, уж кто-кто, а ты-то себе местечко поуютнее на глобусе точно мог бы найти, чтобы вот без этих смс и чатиков с роботами. Или рад бы в рай, да грехи не пускают?
> емейл, телефон с человеком,мляя... и как вы в этом п-це живете? А, впрочем, знаю, как.
Недавно в неваши края собирался - там среди прочих формальностей надо емейле, да. Ответ непременно напечатать и в рамочку (чуваки из ШриЛанкийской immigration - "а че, ТАК можно было?"). На кривой адрес где этих емелей по тыще в день. И вот сидишь ты за пол-дня до вылета (с риском не улететь на все деньги), и гадаешь - это оно в спаме где-то застряло, или ответ потерялся, или просто до него еще руки не дошли?
Сайт с формой возвращающей id и возможностью проверить его статус? Неее, это по пенсионерски, апач какой-то нужен (а то еще и пехепе проклятый) а не "тонны мусора раздавать с s3" (кому и зачем он вообще сдался), мы, зуммерки, не умеем, емеле пишите.
Телефон с человеком мы тоже любим и обожаем - ваш звонок очень неважен для нас, среднее время ответа составляет...пщщщщщминут, у вас ведь бесплатный тариф и заняться вам вообще нечем, благодарим за пользование и идите найух. Ну или "мы непременнейше вам перезвоним" - угу, через пару дней, именно в тот момент когда я одной рукой собираю дерьмо за собакой, а второй изо всех сил держу поводок чтоб она не сожрала ежа.
Всосап в той же кстати стране тоже замечателен - пол-часа переписки с ботом, ты ему и оппу, и унитаз - ждите, щас человека приглашу. Через два часа когда доходят руки проверить - да, 45 минут назад кожанный мешок переспросил - ау, ты уже надеюсь зае..лся ждать ответа и я с чистой совестью таск закрываю?
Ты имеешь в виду в современных однодневочках? Это да.
А так на подложке у всех всё те же вёбсерверы, ничего не изменилось.
Да? И какие же? Только не говори, что Апач, помру со смеху.
клаудшмара там, со своим анал0г06нетом. А к бэкэнду ходит по голому http, светя все твои данные и кредитки - патамушта сложна и нипанятна, и вот же ж - замочек видити, все сесюрна!
https://w3techs.com/technologies/overview/web_serverВнезапно, да?
И ещё учти, что нхинх - это в основном фронтенд, а что за ним и клаудкларой - ну, можно прикинуть по соотношению остального :D
Короче да. Апач, немножко всякого у CDN'ов, и немножко маргинальщины.
Много видел серверов, которые отдают информацию о себе, о своей версии и т.д.?Разве что сайты от Васяна, другие эту информацию скрывают, подменяют.
Ну я тоже хрень отдаю.
Но не потому что есть какой-то смысл скрывать (открою секрет: нет вообще никакого смысла), а просто по приколу.
Да всем пофиг, что ты там со своего локалхоста отдаёшь. Он в статистике вообще не участвует.
Не думаю, что сайты одного из средней руки ISP/TSP/MSP вместе с хостингами не участвуют в статистике :)
> In order to obtain any information from websites, we rely on the websites themselves, their owners or their webmasters to provide such information. Some websites are more open to sharing this type of information than others. Some technologies may provide more means to reveal information about their usage than others.
> In some cases, the information provided by websites, their owners or their webmasters may be wrong. We may not be able to detect all cases of misinformation.Выходит по твоей статистике, большинство админов Апача и Нжинкса не следуют базовым рекомендациям и предоставляют сведения о версии http-демона. Как и положено типичным локалхостным васянам.
Бггг, да, скрыть версию вёбсервера - это сразу +100 к безопастности. Девляпс?
Те, кто следует BCP девляпсы? Тебя ждёт множество удивительных открытий. Начиная с хардкорного IP-транзита, где за такое могут и сессию погасить.
Чо?
Я софткорный IP-транзит, с хардкорными IP-транзитами дело имею вплотную.
Arelion сойдёт?
Там за килолитры ддоса-то сессию не гасят, потому что быстро с этим сделать ничего невозможно, и SLA, а ты за юзерагент (который кстати никто не перлюстрирует - на таких объёмах нереально) захотел.
И вообще, как ты собрался юзерагент из HTTP(S/2/3) извлекать, сессиёгаситель?
Ты ещё вот это не прочитал:
Some technologies may provide more means to reveal information about their usage than others.Т.е. фингерпринтинг они всё-таки похоже используют. Иначе статистика вообще была бы кривая-косая.