форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз HTTP-сервера nginx 1.7.3"	+/–
Сообщение от opennews (??) on 08-Июл-14, 23:43
Доступен (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...) новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.7.3 (http://nginx.org/), в котором продолжено развитие новых возможностей. В новой версии добавлена (http://nginx.org/en/CHANGES) директива ssl_password_file (http://nginx.org/ru/docs/http/ngx_http_ssl_module.html#ssl_p...) для определения файла с паролями от секретных ключей. При возможности для ревалидации кэша теперь используется HTTP-заголовок If-None-Match. При изменении ответа слабые ETag (http://ru.wikipedia.org/wiki/HTTP_ETag) теперь сохраняются, а сильные ETag преобразуются в слабые. URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/00014... Новость: http://www.opennet.dev/opennews/art.shtml?num=40163
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз HTTP-сервера nginx 1.7.3"	+/–
Сообщение от Аноним (??) on 08-Июл-14, 23:43
> При изменении ответа слабые ETag теперь сохраняются, а сильные ETag преобразуются в слабые. Можно подробнее, голова не варит как это .... ETag преобразуются в слабые short-tag?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Релиз HTTP-сервера nginx 1.7.3"	–1 +/–
	Сообщение от rob pike on 09-Июл-14, 00:16
	Тот редкий случай когда по-английски понятней не становится. >Feature: weak entity tags are now preserved on response modifications, and strong ones are changed to weak. Курить, вероятно, надо 13.3.3 http://www.w3.org/Protocols/rfc2616/rfc2616-sec13.html
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Аноним (??) on 09-Июл-14, 02:49
	Вик етаг, когда он вычисляется приложением на основе данных. Например есть страница новости, можно на уровне контроллера приложения сделать что-то типа: totaltimestamp = 0 @post.comments.each do { |comment| totaltimestamp += comment.updated_at.to_i } weak_etag = Digest::SHA1.hexdigest( ( totaltimestamp + @post.updated_at.to_i ).to_s) соответственно Weak ETag вычисляется только на основе семантически значимого содержимого.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Аноним (??) on 09-Июл-14, 02:54
	Рефакторинг :)) totaltimestamp = @post.updated_at.to_i @post.comments.each { |comment| totaltimestamp += comment.updated_at.to_i } weak_etag = Digest::SHA1.hexdigest(totaltimestamp.to_s)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Аноним (??) on 09-Июл-14, 08:01
	Твои упражнения в кодерстве малоинтересны. Если ты хочешь поумничать - скажи что означает преобразование strong ETag -> Weak. Это как, например?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Релиз HTTP-сервера nginx 1.7.3"	+1 +/–
	Сообщение от Аноним (??) on 09-Июл-14, 08:03
	> Тот редкий случай когда по-английски понятней не становится. Родной язык основных разработчиков nginx - не английский. <offtopic> Кстати да, чего это они не захотели стартап в России забацать? </offtopoc>
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Релиз HTTP-сервера nginx 1.7.3"	+9 +/–
	Сообщение от Аноним (??) on 09-Июл-14, 08:06
	Они что, сами себе враги?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	11. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от XoRe (ok) on 09-Июл-14, 09:08
	> Родной язык основных разработчиков nginx - не английский. <offtopic> Кстати да, чего > это они не захотели стартап в России забацать? </offtopoc> А вы знаете много примеров покупки платного nginx в России?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	14. "Релиз HTTP-сервера nginx 1.7.3"	–1 +/–
	Сообщение от Аноним (??) on 09-Июл-14, 10:06
	> Родной язык основных разработчиков nginx - не английский. <offtopic> Кстати да, чего > это они не захотели стартап в России забацать? </offtopoc> потому что тут все хотят на халяву и все бесплатно. А в США платят хорошие деньги и дают заработать. что не понятно.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	16. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от PyMonty on 09-Июл-14, 12:08
	Очевидно путем добавления "W/", указывающего, что они weak.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз HTTP-сервера nginx 1.7.3"	+/–
Сообщение от the joker (ok) on 09-Июл-14, 08:21
> В новой версии добавлена директива ssl_password_file для определения > файла с паролями от секретных ключей Раньше, чтобы при старте вебсервер не останавливался для ввода пароля, люди сохраняли ключ без пароля, то теперь будут сохранять пароль в файл. ИМХО, с точки зрения безопасности это ничего не меняет. Если есть другие мнения, интересно их послушать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Аноним (??) on 09-Июл-14, 09:04
	Для несанкционированного использования беспарольного ключа достаточно упереть сам ключ, в случае же файла с паролями нужно ещё и его умыкнуть. Т.е. усиление защиты есть, но [очень] незначительное по принципу "лучше, чем ничего".
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Andrey Mitrofanov on 09-Июл-14, 10:02
	>"лучше, чем ничего". ничего, которое ничем не лучше. //fixed
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	15. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Sw00p aka Jerom on 09-Июл-14, 12:05
	Если уперли приватный ключ, значить и файлик с паролями рядом,  тоже самое и с уязвимостями типа хертблид
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	19. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Аноним (??) on 09-Июл-14, 14:22
	> Если уперли приватный ключ, значить и файлик с паролями рядом,  тоже самое и с уязвимостями типа хертблид Ну, смотря как софтину сделать. Можно, например, приватные ключи хранить в памяти шифрованными, а файлик с паролями при загрузке тоже шифровать случайным ключом, генерируемым при запуске, и расшифровывать всё это дело только при необходимости (расшифровали -> попользовались -> затёрли рашифрованные данные). Если при этом [постараться] сделать так, чтобы участки памяти с приватными ключами, паролями и ключом для паролей были подальше друг от друга, то вероятность успешной компрометации при аналоге heartbleed-а несколько снизится. Но, опять же, такое усиление безопасности, где пароли хранятся открытым текстом в отдельном файле, весьма условно. Классическая проблема "безопасность vs. удобство".
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	20. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Sw00p aka Jerom on 09-Июл-14, 14:29
	опять таки приватный ключ с правами 777 лежать не будет - и нужен как минимум рут, систему рутать нуно, а если порутали то кранты ничего не спасёт.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	22. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Andrey Mitrofanov on 09-Июл-14, 14:36
	> нуно, а если порутали то кранты ничего не спасёт. NSA спасает! Ну, то есть SElinux. B) Там, где включён. И настроен.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	21. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Andrey Mitrofanov on 09-Июл-14, 14:32
	> Ну, смотря как софтину сделать. Можно, например, приватные ключи хранить в памяти > шифрованными, а файлик с паролями при загрузке тоже шифровать случайным ключом, > для паролей были подальше друг от друга, то вероятность успешной компрометации > при аналоге heartbleed-а несколько снизится. Хацкеры из скайпа ещё, если правильно помню, широуют код, расшифровывая его перед исполнением, загружают куски корабля-ностителя (сервера хозяев), перемешивают это всё указателями на функции и повторением всего вышеперечисленного и взбалтыванием. А ещё еcть волшебные буквы drm/tpm. Какое это всё имеет отношение к безопасности? Примерно такое же, как покупка голограмы-наклейки. Никому ж нельзя верить.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	10. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Аноним (??) on 09-Июл-14, 09:06
	лучше доступ к хранилищу ключей ldap, одноразовый токен..
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Релиз HTTP-сервера nginx 1.7.3"	+2 +/–
	Сообщение от XoRe (ok) on 09-Июл-14, 09:15
	> Если есть другие мнения, интересно их послушать. Можно подумать про подмонтировать папку по sshfs, а после запуска - отмонтировать. Хотя куча ssl сертификатов с ключами - узкое применение. Наверное это актуально всяким хостерам/cdn/anti ddos сервисам, у которых куча ssl сертификатов от клиентов. "сделать клиентские сертификаты безпарольными" - это снижение безопасности, за которое а-та-та. А "подставлять пароли из файла" - разумная альтернатива, особенно если папку с паролями монтировать только на время запуска.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	17. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Sw00p aka Jerom on 09-Июл-14, 12:23
	>> Если есть другие мнения, интересно их послушать. > Можно подумать про подмонтировать папку по sshfs, а после запуска - отмонтировать. > Хотя куча ssl сертификатов с ключами - узкое применение. > Наверное это актуально всяким хостерам/cdn/anti ddos сервисам, у которых куча ssl сертификатов > от клиентов. > "сделать клиентские сертификаты безпарольными" - это снижение безопасности, за которое > а-та-та. > А "подставлять пароли из файла" - разумная альтернатива, особенно если папку с > паролями монтировать только на время запуска. Ну и берешь убиваешь процесс и ждешь када подмонтируется фс, а то и сам подмонтируй, конечно если рут
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	18. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от PyMonty on 09-Июл-14, 12:46
	Зачем такие сложности, когда в случае рута ключ можно и из памяти nginx достать.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	23. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от Sw00p aka Jerom on 09-Июл-14, 14:42
	> Зачем такие сложности, когда в случае рута ключ можно и из памяти > nginx достать. ну и смысл всего этого ? типа холивара - зачем хранить в файле пароли ))) а шо типа /etc/shadow не файл с хешами ?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	25. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от XoRe (ok) on 10-Июл-14, 18:00
	> Ну и берешь убиваешь процесс и ждешь када подмонтируется фс Необязательно автоматом, руками. > , а то > и сам подмонтируй, конечно если рут Я про сетевую папку. Можно примонтировать папку с отдельного сервера по sshfs, с авторизацией по паролю, или по ключу (с пробросом ключа с девелоперской машины, через ssh agent). Т.е. все заводится на группу лиц, у которых есть права на доступ к хранилищу паролей. Практический смысл - представьте, у вас 100-1000 ssl сертификатов и каждый будет запрашивать пароль. Во первых, веб сервер будет стартовать долго, пока все пароли введете. Во вторых, эти пароли надо откуда-то копипастить - все равно дырка. Лучше держать их в отдельном месте, куда имеют доступ по ключу нужные люди. И логировать каждое подключение, или монтирование.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	24. "Релиз HTTP-сервера nginx 1.7.3"	+/–
	Сообщение от fi (ok) on 10-Июл-14, 13:16
	Это опять Systemd !!! :)) в общем хотелки пользователя: http://trac.nginx.org/nginx/ticket/433
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема