The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимостей в HTTP/2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимостей в HTTP/2"  +/
Сообщение от opennews (?), 31-Окт-23, 11:54 
Опубликован релиз легковесного http-сервера lighttpd 1.4.73, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки.  Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60023

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  –1 +/
Сообщение от OpenEcho (?), 31-Окт-23, 11:54 
> При аномально большом числе поступающих запросов реализована отправка ответов "GOAWAY"

Все сразу послушались и пошли нах...

Ответить | Правка | Наверх | Cообщить модератору

2. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +2 +/
Сообщение от ryoken (ok), 31-Окт-23, 12:14 
Как-то они не так "F_U" написали :D.
Ответить | Правка | Наверх | Cообщить модератору

7. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Второй из Кукуева (?), 31-Окт-23, 15:17 
The GOAWAY frame (type=0x7) is used to initiate graceful shutdown of a connection by a server.

Это штатный ответ в http/2 такой вежливый
А вот зачем они его посылают это уже вопрос, не уверен, что он тут уместен вообще

Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от fi (ok), 31-Окт-23, 12:18 
Куда им деться? ))))

а по факту — больше не выделяются ресурсы, атака отбита. На следующей стадии и IP занести в блок лист.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

27. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Тот_Самый_Анонимус_ (?), 02-Ноя-23, 01:25 
>блок лист

black list, чёртов толераст!

Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от Аноним (4), 31-Окт-23, 13:03 
зачем вообще посылать ответы? чем-то напоминает ICMP-шный "порт недоступен". Если он недоступен, то вообще не надо отвечать. Если в недоступный порт кто-то ломится, то это явно не админ. Пусть злоумышленник ждет минуту ICMP-ответа, которого никогда не будет.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

13. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Anm (?), 31-Окт-23, 17:02 
в ICMP смысл отпал ещё лет двадцать назад.
Ответить | Правка | Наверх | Cообщить модератору

15. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от Аноним (15), 31-Окт-23, 18:50 
>в ICMP смысл отпал ещё лет двадцать назад.

TCP (нормально) не работает без ICMP Fragmentation Needed

Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +2 +/
Сообщение от Аноним (5), 31-Окт-23, 14:43 
> lighttpd 1.4.73, пытающегося сочетать [...] безопасность
> написан на языке Си

Ясно, понятно...

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=lighttpd

Ответить | Правка | Наверх | Cообщить модератору

14. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Аноним (14), 31-Окт-23, 17:08 
Если аналог на Расте не написан, то и уязвимостей в нем ноль.
Ответить | Правка | Наверх | Cообщить модератору

8. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  –4 +/
Сообщение от Аноним (8), 31-Окт-23, 15:26 
Если смотреть на ютуб, то http2 вечно лагает и тормозит, и http3 нормально работает. Раньше правда то же самое было с http1 и http2, 2 при этом работал в хромиуме и 1 в фф, из-за чего создавалось ошибочное впечатление, будто фф хуже работает (на самом деле лучше). Ещё и по времени и количеству запросов большая разница. А теперь, похоже, сайт периодически отключает 3 и 2 очень лагает.
Ответить | Правка | Наверх | Cообщить модератору

10. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 31-Окт-23, 16:54 
> http2 вечно лагает и тормозит, и http3 нормально работает

Потому что так надо. Если хозяин прикажет - http3 начнёт лагать, а http2 будет нормально работать. Или оба будут лагать. Или оба будут нормально работать. Как хозяин решит - так и будет.

Ответить | Правка | Наверх | Cообщить модератору

9. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от Аноним (9), 31-Окт-23, 15:32 
А пэхэпэ к нему можно привинтить? На (не смейтесь) втором пне пойдет для лёгкого домашнего сервера?
Ответить | Правка | Наверх | Cообщить модератору

11. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от Аноним (11), 31-Окт-23, 16:55 
Легко, через fcgi, 5 строчек в конфиге
Ответить | Правка | Наверх | Cообщить модератору

16. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от _kp (ok), 31-Окт-23, 20:34 
А почему нет, если на худосочных однопоточных ARM'ах почти без ОЗУ работает.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

17. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Аноним (8), 31-Окт-23, 21:08 
Наверно потому, что он ни разу не лайт, и не особо производительный.
Ответить | Правка | Наверх | Cообщить модератору

24. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от fuggy (ok), 01-Ноя-23, 00:26 
Такой не производительный, что его не так давно аж ютуб использовал.
Ответить | Правка | Наверх | Cообщить модератору

18. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Аноним (18), 31-Окт-23, 21:21 
> на худосочных однопоточных ARM'ах

О каких речь идёт?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

20. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от _kp (ok), 31-Окт-23, 22:47 
Сейчас оборжутся даже коллекционеры 2х Пентиумов - завалявшийся контроллер на ARM926 c 256 ОЗУ. На нем простенький контроллер освещения для световых лент и датчиков света и температуры под Алису. Веб интерфейс на lighhttpd. ОС - LFS на базе Debian. Начинал на Raspberry делать, но попался готовый контроллер с корпусом, ключами, клемниками, но.. 200Мгц. Как ни странно работает с простой задачей бодро, а вебу претензий и вовсе нет.
Ответить | Правка | Наверх | Cообщить модератору

12. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  –1 +/
Сообщение от Аноним (11), 31-Окт-23, 17:01 
Реализацию HTTP/2 (mod_h2) полностью взяли готовой от LiteSpeed. Вот и поплатились. Нет, чтобы как все нормальные люди использовать libnghttp2
Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Аноним (19), 31-Окт-23, 22:43 
Я ещё понимаю 15 лет назад в нём был какой-то смысл (ресурсы дорогие, железо дорогое), но сейчас то чего. Нжинкс работает на любом барахле за 5 копеек.
Ответить | Правка | Наверх | Cообщить модератору

21. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Аноним (18), 31-Окт-23, 23:01 
Для разных роутеров, embedded устройств.
Ответить | Правка | Наверх | Cообщить модератору

22. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от Аноним (22), 31-Окт-23, 23:15 
Просто разработку lighttpd и nginx из авторы начинали примерно в одно и то же время, ничего не зная друг о друге. В итоге сначала lighttpd (по причине отсутствующей англоязычной документации у nginx) взлетел лучше, но потом появились англоязычные (и китаеязычные, хех) энтузиасты nginx, которые сделали вики и даже написали гайд по разработке модулей, и nginx быстро всех обогнал.

По ресурсоемкости они примерно одинаковы, но nginx выигрывает в гибкости конфигурации.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

23. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +1 +/
Сообщение от Аноним (18), 31-Окт-23, 23:51 
> nginx выигрывает в гибкости конфигурации

Что в большинстве случаев overengineering и только усложняет настройку

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от _ (??), 01-Ноя-23, 05:42 
Ну ЫшшО лайти CGI умеет а nginx - нет. Тогда это роляло. Сейчас понятное дело - нет :)
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

26. "Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."  +/
Сообщение от ivan_erohin (?), 01-Ноя-23, 09:46 
я хотел порекомендовать анону выше по треду с ПХП и пентиум-3 nginx unit,
но у него нет 32bit бинарных сборок современных версий (только 64bit).
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру