The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз HTTP-сервера nginx 1.7.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от opennews (??) on 08-Июл-14, 23:43 
Доступен (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...) новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.7.3 (http://nginx.org/), в котором продолжено развитие новых возможностей. В новой версии добавлена (http://nginx.org/en/CHANGES) директива ssl_password_file (http://nginx.org/ru/docs/http/ngx_http_ssl_module.html#ssl_p...) для определения файла с паролями от секретных ключей. При возможности для ревалидации кэша теперь используется HTTP-заголовок If-None-Match. При изменении ответа слабые ETag (http://ru.wikipedia.org/wiki/HTTP_ETag) теперь сохраняются, а сильные ETag преобразуются в слабые.


URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...
Новость: http://www.opennet.dev/opennews/art.shtml?num=40163

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Аноним (??) on 08-Июл-14, 23:43 
> При изменении ответа слабые ETag теперь сохраняются, а сильные ETag преобразуются в слабые.

Можно подробнее, голова не варит как это .... ETag преобразуются в слабые short-tag?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз HTTP-сервера nginx 1.7.3"  –1 +/
Сообщение от rob pike on 09-Июл-14, 00:16 
Тот редкий случай когда по-английски понятней не становится.
>Feature: weak entity tags are now preserved on response modifications, and strong ones are changed to weak.

Курить, вероятно, надо 13.3.3 http://www.w3.org/Protocols/rfc2616/rfc2616-sec13.html

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Аноним (??) on 09-Июл-14, 02:49 
Вик етаг, когда он вычисляется приложением на основе данных. Например есть страница новости, можно на уровне контроллера приложения сделать что-то типа:

totaltimestamp = 0
@post.comments.each do { |comment| totaltimestamp += comment.updated_at.to_i }
weak_etag = Digest::SHA1.hexdigest( ( totaltimestamp + @post.updated_at.to_i ).to_s)

соответственно Weak ETag вычисляется только на основе семантически значимого содержимого.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Аноним (??) on 09-Июл-14, 02:54 
Рефакторинг :))
totaltimestamp = @post.updated_at.to_i
@post.comments.each { |comment| totaltimestamp += comment.updated_at.to_i }
weak_etag = Digest::SHA1.hexdigest(totaltimestamp.to_s)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Аноним (??) on 09-Июл-14, 08:01 
Твои упражнения в кодерстве малоинтересны. Если ты хочешь поумничать - скажи что означает преобразование strong ETag -> Weak. Это как, например?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Релиз HTTP-сервера nginx 1.7.3"  +1 +/
Сообщение от Аноним (??) on 09-Июл-14, 08:03 
> Тот редкий случай когда по-английски понятней не становится.

Родной язык основных разработчиков nginx - не английский. <offtopic> Кстати да, чего это они не захотели стартап в России забацать? </offtopoc>

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Релиз HTTP-сервера nginx 1.7.3"  +9 +/
Сообщение от Аноним (??) on 09-Июл-14, 08:06 
Они что, сами себе враги?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от XoRe (ok) on 09-Июл-14, 09:08 
> Родной язык основных разработчиков nginx - не английский. <offtopic> Кстати да, чего
> это они не захотели стартап в России забацать? </offtopoc>

А вы знаете много примеров покупки платного nginx в России?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Релиз HTTP-сервера nginx 1.7.3"  –1 +/
Сообщение от Аноним (??) on 09-Июл-14, 10:06 
> Родной язык основных разработчиков nginx - не английский. <offtopic> Кстати да, чего
> это они не захотели стартап в России забацать? </offtopoc>

потому что тут все хотят на халяву и все бесплатно. А в США платят хорошие деньги и дают заработать.

что не понятно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от PyMonty on 09-Июл-14, 12:08 
Очевидно путем добавления "W/", указывающего, что они weak.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от the joker (ok) on 09-Июл-14, 08:21 
> В новой версии добавлена директива ssl_password_file для определения
> файла с паролями от секретных ключей

Раньше, чтобы при старте вебсервер не останавливался для ввода пароля, люди сохраняли ключ без пароля, то теперь будут сохранять пароль в файл. ИМХО, с точки зрения безопасности это ничего не меняет.

Если есть другие мнения, интересно их послушать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Аноним (??) on 09-Июл-14, 09:04 
Для несанкционированного использования беспарольного ключа достаточно упереть сам ключ, в случае же файла с паролями нужно ещё и его умыкнуть. Т.е. усиление защиты есть, но [очень] незначительное по принципу "лучше, чем ничего".
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Andrey Mitrofanov on 09-Июл-14, 10:02 
>"лучше, чем ничего".

ничего, которое ничем не лучше. //fixed

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Sw00p aka Jerom on 09-Июл-14, 12:05 
Если уперли приватный ключ, значить и файлик с паролями рядом,  тоже самое и с уязвимостями типа хертблид
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Аноним (??) on 09-Июл-14, 14:22 
> Если уперли приватный ключ, значить и файлик с паролями рядом,  тоже самое и с уязвимостями типа хертблид

Ну, смотря как софтину сделать. Можно, например, приватные ключи хранить в памяти шифрованными, а файлик с паролями при загрузке тоже шифровать случайным ключом, генерируемым при запуске, и расшифровывать всё это дело только при необходимости (расшифровали -> попользовались -> затёрли рашифрованные данные). Если при этом [постараться] сделать так, чтобы участки памяти с приватными ключами, паролями и ключом для паролей были подальше друг от друга, то вероятность успешной компрометации при аналоге heartbleed-а несколько снизится.

Но, опять же, такое усиление безопасности, где пароли хранятся открытым текстом в отдельном файле, весьма условно. Классическая проблема "безопасность vs. удобство".

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Sw00p aka Jerom on 09-Июл-14, 14:29 
опять таки приватный ключ с правами 777 лежать не будет - и нужен как минимум рут, систему рутать нуно, а если порутали то кранты ничего не спасёт.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Andrey Mitrofanov on 09-Июл-14, 14:36 
> нуно, а если порутали то кранты ничего не спасёт.

NSA спасает! Ну, то есть SElinux. B) Там, где включён. И настроен.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Andrey Mitrofanov on 09-Июл-14, 14:32 
> Ну, смотря как софтину сделать. Можно, например, приватные ключи хранить в памяти
> шифрованными, а файлик с паролями при загрузке тоже шифровать случайным ключом,
> для паролей были подальше друг от друга, то вероятность успешной компрометации
> при аналоге heartbleed-а несколько снизится.

Хацкеры из скайпа ещё, если правильно помню, широуют код, расшифровывая его перед исполнением, загружают куски корабля-ностителя (сервера хозяев), перемешивают это всё указателями на функции и повторением всего вышеперечисленного и взбалтыванием.

А ещё еcть волшебные буквы drm/tpm.

Какое это всё имеет отношение к безопасности? Примерно такое же, как покупка голограмы-наклейки. Никому ж нельзя верить.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

10. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Аноним (??) on 09-Июл-14, 09:06 
лучше доступ к хранилищу ключей ldap, одноразовый токен..
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Релиз HTTP-сервера nginx 1.7.3"  +2 +/
Сообщение от XoRe (ok) on 09-Июл-14, 09:15 
> Если есть другие мнения, интересно их послушать.

Можно подумать про подмонтировать папку по sshfs, а после запуска - отмонтировать.
Хотя куча ssl сертификатов с ключами - узкое применение.
Наверное это актуально всяким хостерам/cdn/anti ddos сервисам, у которых куча ssl сертификатов от клиентов.
"сделать клиентские сертификаты безпарольными" - это снижение безопасности, за которое а-та-та.
А "подставлять пароли из файла" - разумная альтернатива, особенно если папку с паролями монтировать только на время запуска.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Sw00p aka Jerom on 09-Июл-14, 12:23 
>> Если есть другие мнения, интересно их послушать.
> Можно подумать про подмонтировать папку по sshfs, а после запуска - отмонтировать.
> Хотя куча ssl сертификатов с ключами - узкое применение.
> Наверное это актуально всяким хостерам/cdn/anti ddos сервисам, у которых куча ssl сертификатов
> от клиентов.
> "сделать клиентские сертификаты безпарольными" - это снижение безопасности, за которое
> а-та-та.
> А "подставлять пароли из файла" - разумная альтернатива, особенно если папку с
> паролями монтировать только на время запуска.

Ну и берешь убиваешь процесс и ждешь када подмонтируется фс, а то и сам подмонтируй, конечно если рут

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от PyMonty on 09-Июл-14, 12:46 
Зачем такие сложности, когда в случае рута ключ можно и из памяти nginx достать.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от Sw00p aka Jerom on 09-Июл-14, 14:42 
> Зачем такие сложности, когда в случае рута ключ можно и из памяти
> nginx достать.

ну и смысл всего этого ? типа холивара - зачем хранить в файле пароли )))

а шо типа /etc/shadow не файл с хешами ?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от XoRe (ok) on 10-Июл-14, 18:00 
> Ну и берешь убиваешь процесс и ждешь када подмонтируется фс

Необязательно автоматом, руками.

> , а то
> и сам подмонтируй, конечно если рут

Я про сетевую папку.
Можно примонтировать папку с отдельного сервера по sshfs, с авторизацией по паролю, или по ключу (с пробросом ключа с девелоперской машины, через ssh agent).

Т.е. все заводится на группу лиц, у которых есть права на доступ к хранилищу паролей.
Практический смысл - представьте, у вас 100-1000 ssl сертификатов и каждый будет запрашивать пароль.
Во первых, веб сервер будет стартовать долго, пока все пароли введете.
Во вторых, эти пароли надо откуда-то копипастить - все равно дырка.
Лучше держать их в отдельном месте, куда имеют доступ по ключу нужные люди.
И логировать каждое подключение, или монтирование.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Релиз HTTP-сервера nginx 1.7.3"  +/
Сообщение от fi (ok) on 10-Июл-14, 13:16 
Это опять Systemd !!! :))

в общем хотелки пользователя:

http://trac.nginx.org/nginx/ticket/433

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру