| |
| 2.2, Аноним (2), 08:54, 08/10/2021 [^] [^^] [^^^] [ответить]
| +16 +/– |
Экстремальное программирование - отладка на пользователях. Типа актуальный метод разработки.
| | |
| |
| 3.5, Qwerty (??), 09:04, 08/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоишь ватаге ниндзя аки старина Брюс Ли
или там прыгаешь с парашютом и кодишь
или... не так что ли?
| | |
| 3.17, Аноним (17), 10:31, 08/10/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Экстремальное программирование - это про test-driven development. Отладка на пользователях - это экстремистское программирование ;)
| | |
| |
| |
| 5.70, Anon2 (?), 09:26, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
И в следствии Apache httpd будет защищен от всех уязвимостей законодательством РФ. Го в ЭП
| | |
|
|
| 3.67, KT315 (ok), 09:13, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
 Сейчас походу все так разрабатывается и в "продакшон". Что телефоны, что машины... Главное покрыть тест кейсами и найти баги, которые могут посадить на кукан. Остальное рутина и удовольствие от процесса :)
| | |
|
|
| 1.3, Аноним (2), 08:55, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– | |
Не страшно. В прдакшн не ставят
> непрерывно обновляемые дистрибутивы | | |
| |
| 2.9, Онаним (?), 09:30, 08/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, bleeding edge на то и bleeding edge.
Вменяемые на таковом сидящие прекрасно это понимают.
А вот сидящие от фанатизма - не всегда, поэтому как обычно вопли и сопли.
| | |
| |
| 3.10, Онаним (?), 09:32, 08/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее либо накачу 51, либо 52 или чего там уже будет, если changelog устроит, либо ещё подожду :D
| | |
| |
| 4.39, Ordu (ok), 18:50, 08/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Предположу, что фразой "bleeding edge" он хотел сказать "bleeding edge".
| | |
| |
| 5.76, Онаним (?), 11:06, 09/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Абсолютно так.
Говоря "bleeding edge", я имел в виду именно "bleeding edge", не подразумевающее ничего кроме "bleeding edge".
| | |
|
|
|
|
| 1.7, Аноним (7), 09:11, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
> была заблокирована возможность использования последовательности "%2e" для кодирования точки...
> но упущена возможность двойного кодирования...
А потом тройного, четверного... Не кажется ли, что они не на том конце проверку делают?
| | |
| |
| 2.41, пох. (?), 19:16, 08/10/2021 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Кажется. Херачь молнией, Г-ди, не осталось тут праведников.
Уж если в разработчики апача понабрали подобных макак, которым даже предыдущий факап не подсказал что надо делать проверки после декодирования, нормализации и что там еще предполагается перед обращением к файловой системе, а не в процессе.
Отдельный вопрос - а зачем они делают двойное декодирование и не надо ли в этом месте вернуть то, что у nginx называется 444 - захлопнуть сессию без объяснений и записать в лог про попытку хакинга. Поскольку никаких легитимных применений подобной бредятине не просматривается, а кому очень-очень надо - пусть себе двойное и десятерное декодирование вручную разрешает и уже потом не плачет о последствиях.
| | |
| |
| 3.57, Аноним (57), 00:40, 09/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Макак туда понабрали еще во времена разработки ветки 2. В 1.3 все было аккуратно и с пониманием дела. А из второго те же race conditions на stat-ы вычищали долго и мучительно. Ну потому что внезапно разработчики веб-сервера не понимают, что он работает в многозадачной среде.
| | |
| |
| 4.81, пох. (?), 12:29, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Ну, там разно было - достаточно вспомнить, что вызвало появление 1.3.26 (правда, потом на те же грабли со всего разбега наделся nginx)
И точно такой же насквозь гнилой mod_proxy (вообще не понимаю, кто им мог пользоваться и для чего) как и по сей день (думаю, потому что никто им и не пользуется с тех пор)
Это помимо родовых травм с lingering sockets, кстати, принесенных тогда входившим в моду http/1.1
А в 2.0 ради винды и "упрощения модулей" да, попереломали вообще все подряд. Но к 2.2 почти все уже встало на свои места, снова стало можно пользоваться, подложив соломку где надо.
| | |
| |
| 5.86, Аноним (57), 14:26, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http.
С аплоадом вроде как придумали 100 Continue, но ни один браузер так и не поддерживает до сих пор.
| | |
| 5.87, Аноним (57), 14:29, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> к 2.2 почти все уже встало на свои места
Возможно. К 2.2 я уже полностью перелез на nginx. В принципе, сменил одни грабли на другие, да, но там хотя бы код куда менее объемный (был), и логику одного разработчика куда проще понять, чем логику десятков.
| | |
|
|
| 3.89, john_erohin (?), 17:25, 10/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> зачем они делают двойное декодирование
если клиент сидит за семью проксями, то придется делать
и восьмипроходное декодирование (нормализацию).
в общем случае, пока предыдущий_результат != новый_результат.
| | |
| |
| 4.91, пох. (?), 07:48, 12/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
вот прокси пусть и делает. Никто тебе не гарантирует что урл ../../что-то вообще допустим на этом сайте - даже если в принципе путь такой есть и находится внутри дерева сайта.
Это не файловая система.
Если прокси вместо правильного урла нафантазировал билиберду - пусть пользователь его и чинит себе.
| | |
|
|
|
| 1.8, Онаним (?), 09:29, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Эээээ, а с хрена ли оно делает двойное декодирование.
Кого вообще к эскейпингу подпустили в этот раз-то?
| | |
| 1.12, Аноним (12), 09:45, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7.0 на ту, что в Debian 11. А так не интересно, т.к. я уже Гофер, и апачи не нужны.
| | |
| 1.14, Аноним (14), 10:01, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> …но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/".
Может всё-таки в тёмное место этот percent encoding пора, а? Юникот на дворе.
| | |
| |
| 2.31, burjui (ok), 12:40, 08/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писал слишком умный для самого себя человек.
| | |
|
| |
| |
| 3.38, OpenEcho (?), 18:38, 08/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Не nginx, а thttpd.
Да чё мелочиться, надо использовать то, что под рукой: busybox httpd
| | |
|
|
| |
| |
| |
| |
| 5.28, Аноним (19), 12:23, 08/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ммм еще и с докером! Нямка. Предлагают назвать переписанный продукт не апач, а срач. Ну чтоб луддитам поднагадить таким макаром.
| | |
| |
| 6.43, пох. (?), 19:23, 08/10/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
with multistage(!) docker build, а не хрен собачий!
Впопачь. Что отражает ориентацию типичных разработчиков подобного. Причем в самом плохом смысле.
| | |
|
|
|
|
| |
| |
| 4.63, Terraforming (ok), 04:14, 09/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > А докер в докере с докером добавив докер спросив о докере.
Docker это старый добрый chroot только лучше. Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.
| | |
| |
| 5.69, пох. (?), 09:24, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Docker это старый добрый chroot только лучше.
чем лучше - чем грузины!
https://www.cvedetails.com/product/28125/Docker-Docker.html?vendor_id=13534
в старом добром chroot не было хотя бы "code execution".
> Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.
у кого руки росли из жопы и голова тоже в жопе, безусловно, так и делали.
Остальные прекрасно понимали, что на машине с апачем основные "системные файлы" лежат в /home/www и все остальное после этого уже ломаного гроша не стоит.
| | |
|
|
|
| 2.54, Alladin (?), 23:49, 08/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Согласен, такую халтуру с путями сделать это смешно.
Я не осведомлен какие апи использовали в апаче, но в раст std с определением относительности путей с разными кодировочными символами все ок.
| | |
| |
| 3.61, Аноним (61), 03:20, 09/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если rust локальные файлы открывает с перекодировкой из url encoding то у меня для тебя плохие новости.
| | |
|
|
| 1.32, Аноним (-), 12:53, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Два релиза в неделю !
Вот что Раст от-контроля-отучающий делать может!
| | |
| |
| 2.33, Аноним (19), 13:32, 08/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
С 28 сентября ажно 3.
Вот и уровень современных сишников. Под деградацию протащат и раст, ибо так им проще. А прикроются "луддитами". Все старо, как мир.
| | |
| |
| |
| 4.36, Аноним (19), 16:14, 08/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Правильно. Которые в си осилили так, как есть. На примере сабжа даже видно.
Но чтобы убедить в нужности перехода на новое, нужно сперва дискредитировать старое. Что мы и наблюдаем, утирая скупую мужскую слезу.
| | |
| |
| 5.42, пох. (?), 19:22, 08/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Проблема проявляется только в выпусках 2.4.49 и 2.4.50,
так что со старым все в общем хорошо.
Остается расслабиться и подождать еще одно поколение апачеписак. Пережили мы 2.0 с невменяйками, захотевшими винды и "упрощения разработки модулей" (в результате по сути угробив 3d party модули вообще, доупрощались). К версии 2.2 они все отправились улучшайкать что-то еще, или руководителями заделались, и стало снова можно пользоваться.
| | |
| |
| |
| |
| |
| 9.51, Аноним (19), 22:22, 08/10/2021 [^] [^^] [^^^] [ответить] | +/– | Соряю, мой косяк Не тот линк спастился https www cvedetails com vulnerability... текст свёрнут, показать | | |
| |
| 10.68, пох. (?), 09:18, 09/10/2021 [^] [^^] [^^^] [ответить] | +/– | Ну а если не копипастить а еще и читать - там большая часть проблем традиционно ... текст свёрнут, показать | | |
| |
| |
| 12.74, Аноним (19), 10:17, 09/10/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Ну а суть человеков не менялась с времен начала нашей эры Менялись лишь декорац... текст свёрнут, показать | | |
| |
| 13.80, пох. (?), 12:20, 09/10/2021 [^] [^^] [^^^] [ответить] | +/– | перечитай Старшую Эдду Еще как менялась Ну или нартский эпос, куда удобочитаем... текст свёрнут, показать | | |
|
|
| |
| 12.79, пох. (?), 12:06, 09/10/2021 [^] [^^] [^^^] [ответить] | +/– | Ты не путай послевоенный мир и гибель пережравших смузи цивилизаций С 1 по 10 ... текст свёрнут, показать | | |
| |
| |
| 14.85, пох. (?), 14:12, 09/10/2021 [^] [^^] [^^^] [ответить] | +/– | да нет, откуда Готские войны - банально жрать нечего Обоим сторонам Кто были ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
| 3.77, Онаним (?), 11:08, 09/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Хруст будет очень сложно "протащить под деградацию", потому что он и так находится внизу этой пищевой цепочки.
| | |
|
|
| |
| |
| 3.60, Аноним (27), 01:58, 09/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Спасибо. Мне для статики + fascgi. Просто хотелось убедиться, что у него нет репутации дырявого сервака.
| | |
|
|
| 1.90, _kp (ok), 11:52, 11/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Какие то извращенцы.. Зачем соваться блокировать 2Е в URI, кстати проделывая лишнюю работу, когда можно перехватив работу с путями за счет кеширования еще и быстродействие поднять.
Да, я не смотрел детали, что там сейчас в Apache, но веб серверы писал, и мне странно читать про такие ляпы, и костыльные подпорки особенно.
| | |
|
