Вышел (http://www.squid-cache.org/Versions/v3/3.1/) релиз прокси-сервера squid-3.1.11 в котором представлено 26 исправлений (http://www.squid-cache.org/Versions/v3/3.1/changesets/SQUID_...). Из улучшений можно отметить:- Реализация директивы "stale-if-error" в рамках реализации поддержки расширений для управления кэшем RFC 5861 (http://tools.ietf.org/html/rfc5861) (Cache-Control). Директива позволяет установить максимальный лимит, как долго устаревший прокэшированный объект может быть использован, прежде чем клиенту клиенту начнет возвращаться код 5xx;
- При использовании директивы deny_info для редиректа не-GET/HEAD запросов клиенту теперь выводится статус HTTP/1.1 307;
- Улучшен код обработки сбоев eCAP-транзакций;
- Добавлена директива ftp_eprt для отключения EPRT-расширений в FTP;
- Для браузеров с User-Agent Mozilla/3.0 теперь допускается создание постоянных соединений (persistent).URL: http://www.squid-cache.org/Versions/v3/3.1/
Новость: http://www.opennet.me/opennews/art.shtml?num=29557
Удалили пару срок кода и User-Agent Mozilla/3.0 теперь допускается создание постоянных соединений (persistent) :).
Вот интересно, накой нужен такой прокси. Он уже достаточно древний, а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки. Ладно бы там новых фич с каждым выпуском десяток добавляли, а так...
Не знаю, как там с кэшированием в 3proxy, но если там это уже есть, то, на мой взгляд, он - лучший выбор.
А что это за 3proxy вообще? Лучший выбор для кого?
Он же не умеет и десятой доли того, что умеет сквид 3. Например, об IPv6 автор, похоже, не слышал..И, интереса ради, какие такие "критические ошибки" были исправлены в этом релизе?
Да подождите вы ipv6, читали отзывы специалистов по поводу сколько времени потребуется что бы на него перейти? Не один пяток годков... Да и зачем он нужен за прокси-сервером.
Сквид был актуален в прошлом веке, когда инет стоил дорого, а сейчас есть альтернативы, которые в плане безопасности не напрягают. Скажите я параноик? Да, так и есть :-)
Выдержки из FAQ'a этого "не напрягающего в плане безопасности" поделия доставляют неимоверно:Q: Почему так криво написан код?
A: Есть несколько причин. Во-первых, я не программист. Во-вторых, 3proxy изначально
писался на коленке (в отет на "слабо") в одной из конференций). Никто
не мог предположить, что им кто-то реально будет пользоваться. В-третьих, у многих
возникает желание разобраться в коде 3proxy чтобы внедрить его в какой-нибудь
троян. Очень не хочется облегчать эту задачу. В-четвертых, мне надо добиться
компиляции кода в как можно большем числе систем. Замечено, что чем кривее код в
C, тем он лучше переносится.Q: Почему так много strcpy, sprintf и т.д., это ж дыры!
Есть несколько причин. Во-первых, несмотря на дурной тон использования этих
функций, они наиболее совместимы между разными системами и компиляторами.
Во-вторых, само по себе их использование не означает присутствие дыры, если их
параметры должным образом контролируются. Найдете дыру - обязательно сообщите.
В третьих, может быть я уберу их перед конечным релизом, чтобы никого не пугать.
Назовите хоть одну достойную замену крабу?
...кальмару
> Назовите хоть одну достойную замену крабу?Гриб или шмель, нет?
> Он уже достаточно древний,Неужели древнее, чем cat(1)?
> а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки.
Не такие уж и критические, если почитать Release Notes. А серьёзного софта без багов не бывает. Впрочем... предложите вариант получше, вас внимательно слушают.
>> Он уже достаточно древний,
> Неужели древнее, чем cat(1)?
>> а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки.
> Не такие уж и критические, если почитать Release Notes. А серьёзного софта
> без багов не бывает. Впрочем... предложите вариант получше, вас внимательно слушают.Да вы почитайте http://www.squid-cache.org/Advisories/
Без ошибок не бывает, это да. Но не сколько же и не такие серьезные. Этот софт для продакшена, а не для домохозяек мультики детям проигрывать.
>>> Он уже достаточно древний,
>> Неужели древнее, чем cat(1)?
>>> а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки.
>> Не такие уж и критические, если почитать Release Notes. А серьёзного софта
>> без багов не бывает. Впрочем... предложите вариант получше, вас внимательно слушают.
> Да вы почитайте http://www.squid-cache.org/Advisories/Почитал. Большинство, в том числе все последние, — лишь DoS. А отнюдь не компрометация.
> Без ошибок не бывает, это да. Но не сколько же и не
> такие серьезные. Этот софт для продакшена,Какие умные слова :))))
> а не для домохозяек мультики детям проигрывать.
...а с каких пор сквид - это серьезный софт? Приложеньеце уровня средненького офиса, на вскидку можно провести аналогию с vsftpd, с оговоркой о количестве методов/команд и их параметров коих в http значительно больше, а по сути тот же контроль доступа с виртуальными пользователями и тд.Существующего варианта лучше не знаю, но интегрировать в проксю правила ad-block (или как оно там зовется) с синхронизацией с общественным сервером, с возможностью правки дом-документа, и тому подобных пирожков было бы не плохо.
> ...а с каких пор сквид - это серьезный софт? Приложеньеце уровня средненького
> офиса, на вскидку можно провести аналогию с vsftpd, с оговоркой о
> количестве методов/команд и их параметров коих в http значительно больше,
> а по сути тот же контроль доступа с виртуальными пользователями
> и тд.Эм. vsftpd умеет NTLM, например? Сравнение некорректно изначально, слишком разные на самом деле эти протоколы:
* В HTTP одно соединение, в FTP — на каждую передачу файла отдельное.
* vsftpd не запрашивает данные из непроверенных источников, окромя собсно клиента, squid — запрашивает.
* и т.д.> Существующего варианта лучше не знаю, но интегрировать в проксю правила ad-block (или
> как оно там зовется) с синхронизацией с общественным сервером, с возможностью
> правки дом-документа, и тому подобных пирожков было бы не плохо.Правку DOM-документа на проксе в реальном времени o_O?! Помимо того, какая это нагрузка, вы не забыли про существование *Script, который всё на большем количестве сайтов, как это ни печально, _требуется_ для работы? ;)
> NTLMHTTP умеет работать с PAM?
> * В HTTP одно соединение, в FTP — на каждую передачу файла отдельное.
> * vsftpd не запрашивает данные из непроверенных источников, окромя собсно клиента, squidЭто частности. Принцип один.
> Правку DOM-документа на проксе в реальном времени o_O?! Помимо того, какая это
> нагрузка, вы не забыли про существование *Script, который всё на большем
> количестве сайтов, как это ни печально, _требуется_ для работы? ;)Почему это должно быть печально? Нагрузка, и что; важна возможность, или даже не возможность, что свидетельствует в пользу не законченности, или простоты, а не серьезности;
Сам сквидом пользуюсь, они топчутся на месте.
> HTTP умеет работать с PAM?А FTP умеет работать с PAM? Что за вопрос вообще?
Если вопрос про сквид, то разумеется умеет - http://linux.die.net/man/8/pam_auth
А зачем вообще нужны HTTP-прокси в 2011 году?
удобно же в офисе с помощью него контроллировать доступ к интернету
>А зачем вообще нужны HTTP-прокси в 2011 году?Для фильтрации контента на L7-уровне
> А зачем вообще нужны HTTP-прокси в 2011 году?А зачем нужны маршрутизаторы? У меня дома стоит ви-фи роутер, мне хватает.
А зачем нужны сервера? У меня и без них все работает.Так получается?
Зачем нужны прокси - идем сюда, и внимательно читаем:
http://www.google.ru/#hl=ru&newwindow=1&biw=1280&bih=845&q=&...
Затем! :)Например, у меня принудительное проксирование всей сетки, и я точно знаю кто куда ходил и чего хотел. Оченно удобно :) Опять таки например, целый ряд электронных библиотек (нет-нет я не про эквадорцев и иже с ними) и издательств следят, чтобы никто зеркало не собирал: надо тебе статьи по воздействию платиновых катализаторов на Borrelia burgdorferi sensu lato -- ради Бога, а вот качать весь номер ххх низя, ибо бан :) И без сквида понять какой нехороший ... блокировал доступ всего Института крайне сложно.
мощный контроль за посещением http-сайтов
скоро он никому не нужен будет...
2012-ый год близко??
ИМХО, для фильтрования траффика в школах(тут из-за тупости тех самых чиновников нет обхода) лучше, чем предлагаемый ими DNS-фильтр. Хоть у нас канал и не маленький, но уровень использования кеша 30% вдохновляет. Бонусом получаем статистику посещений и расхода траффика. А в сумме с kerberos авторизацией - по конкретным пользователям.
Да и то, DNS-фильтр любая восьмиклассница обойдёт, а с фашистским прокси уже надо проявлять смекалку. Таким образом мы развиваем у школьников изобретательность и побуждаем их овладевать новыми технологиями. Уважаю наших чиновников!
> ИМХО, для фильтрования траффика в школах(тут из-за тупости тех самых чиновников нет
> обхода) лучше, чем предлагаемый ими DNS-фильтр. Хоть у нас канал и
> не маленький, но уровень использования кеша 30% вдохновляет. Бонусом получаем статистику
> посещений и расхода траффика. А в сумме с kerberos авторизацией -
> по конкретным пользователям.Вопрос - а разве аутентификация работает с прозрачным прокси ?
если в твоей сети нужен прокси-срвер, то юзай прокси-сервер, если не нужен, то не юзай. нехер брехать своим тролльным ртом на кошерный сквид, собака.