The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Доступен nginx 1.25.0 с экспериментальной поддержкой HTTP/3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Доступен nginx 1.25.0 с экспериментальной поддержкой HTTP/3"  +/
Сообщение от opennews (??), 23-Май-23, 22:14 
Представлен первый выпуск новой основной ветки nginx 1.25.0, в рамках которой будет продолжено развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59186

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 23-Май-23, 22:14   +/
Что на это ответит Angie?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (2), 23-Май-23, 22:22   +/
на нем получится написать websocket-приложение на node.js? встроенным модулям доверия нет, а тут пацаны знают что делают, прошаренные
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #32, #41, #71

3. Сообщение от Шарп (ok), 23-Май-23, 22:29   –1 +/
git cherry-pick
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #56, #74

5. Сообщение от Аноним (5), 23-Май-23, 22:32   –1 +/
Очень хорошо, однако нет возможности собрать с gnutls. Также не очень понятно, как пробрасывать UDP через него.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 23-Май-23, 22:44   +1 +/
HTTP3 != HTTP 3.0
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

7. Сообщение от Аноним (7), 23-Май-23, 23:03   –9 +/
Отлично! На своих сервисах давно выключил HTTP/1.x скоро дело и за HTTP/2.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #17, #18, #20, #31

8. Сообщение от Аноним (8), 23-Май-23, 23:32   +15 +/
> На своих сервисах давно

Да на локалхосте вообще без разницы, можешь не париться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

16. Сообщение от Капитан Очевидность (?), 23-Май-23, 23:48   +/
http/3, так что шутка не вышла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #30

17. Сообщение от Капитан Очевидность (?), 23-Май-23, 23:55   –7 +/
Понимаю, что бесполезно о чем-то серьезном писать опеннетовским клоунам, но все же

Все что ниже http/2 и правда давно можно отрубать
Ну просто потому что живой клиент к тебе не придет по 0.9, 1.0 или 1.1, по ним уже давно приходят только какие-то дикие боты
Мы года 2 назад провели анализ логов за полгода и зарубили 0.9, 1.0 и 1.1 на уровне WAF

А вот отрубить http/2 у тебя не выйдет ни через год, ни через 10

http/3 работает по UDP, а вот тут кроется засада
Всякие корп.файрволлы, всякие открытые сети в метро и точках быстрого питания, все они режут все подряд кроме 80/tcp и 443/tcp
Некоторые российские ОПСОСы своим клиентам не совсем режут, но по скорости до пары килей в секунду все кроме отдельных портов(например 1191/tcp, 1191/udp и 51820/udp они не трогают, а если поднимешь себе OpenVPN на 1192/udp или там wireguard на 51821/udp, то у тебя скорость будет в эту самую пару килей в секунду)

Так что даже если ты бодро внедришь у себя http/3, то тебе придется оставлять еще и http/2, что бы по нему работали все кому режут udp

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #24, #27

18. Сообщение от Аноним (18), 24-Май-23, 00:00   +8 +/
можешь вообще отключить свой сервис. Выростет уровень безопасности, в плане посещаемости ничего не изменится :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

20. Сообщение от Ilya Indigo (ok), 24-Май-23, 00:42   +/
И как к тебе гугло-яндо боты попадают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #26, #33

21. Сообщение от Аноним (21), 24-Май-23, 01:45   +1 +/
> нгинкс

Разве оно ещё не устарело? Что сейчас модно-молодёжно и смузи-вэй?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #25, #28

22. Сообщение от Golangdev (?), 24-Май-23, 02:23   –1 +/
Как Golangdev я рекомендую использовать Traefik. В нём нет проблем с вебсокетами.

Также - он хорошо работает с докером/облаками/кубером, то что нгинкс давал только в платной версии и хз, юзабельно ли, тут это бесплатно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

23. Сообщение от Golangdev (?), 24-Май-23, 02:27   +/
См. мой коммент выше. Омоложение и захлеб смузи гарантирую %)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (-), 24-Май-23, 04:16   +1 +/
> http/3 работает по UDP, а вот тут кроется засада

При том это будут проблемы вооооон тех господ, решивших что полисовать udp это круто.

> Так что даже если ты бодро внедришь у себя http/3, то тебе
> придется оставлять еще и http/2, что бы по нему работали все кому режут udp

Или пусть не работают себе наздоровье. А заодно порвут саппорт вон тех на джек юнион, если им доступ к ресурсу надо было. Зачем делать из чужих проблем свои? Что характерно т.к. случай будет не единичный - то таки саппортов порвут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от Аноним (41), 24-Май-23, 05:57   +/
nginx до сих пор не умеет делать реверс прокси для http/2. Он устарел как мамонт. HAProxy, Traefik наше всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #29, #39

26. Сообщение от Аноним (41), 24-Май-23, 05:58   –1 +/
Что им там делать если там один динамический контент?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

27. Сообщение от Аноним (27), 24-Май-23, 06:32   +/
> Все что ниже http/2 и правда давно можно отрубать

Чтобы что? С какой целью?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #34, #75

28. Сообщение от Аноним (28), 24-Май-23, 07:54   +/
Envoy proxy. Но его еще нужно научиться конфигурировать ибо по сравнению с nginx его конфиг выглядит как космический корабль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #38, #55, #60

29. Сообщение от Аноним (29), 24-Май-23, 08:06   –2 +/
Умеет

https://docs.nginx.com/nginx/admin-guide/web-server/reverse-.../

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #35

30. Сообщение от Аноним (30), 24-Май-23, 08:58   +5 +/
HTTP/3 = HTTP 0.333...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #65

31. Сообщение от Аноним (30), 24-Май-23, 08:58   +/
...А потом и за HTTP/3 :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

32. Сообщение от Аноним (2), 24-Май-23, 10:38   +1 +/
Отвечая на свой вопрос: можно, но вебсокеты вроде бы всё равно реализованы на яваскрипте, а не в самом nginx unit. Причем просто форкнули 4 года назад библиотеку websocket, и больше ее вообще не трогали.

> Node.js: introducing websocket support.
> 4 years ago

https://github.com/nginx/unit/tree/master/src/nodejs/unit-http

Страшновато.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

33. Сообщение от Капитан Очевидность (?), 24-Май-23, 11:13   +/
HTTP/2.0" 200 161512 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)

Они ходят по 2, а не по 0.9, как думают местные мамкины крякеры

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #37

34. Сообщение от Капитан Очевидность (?), 24-Май-23, 11:14   –1 +/
Что бы не поддерживать то, что не используется
Отключение того, что не используется уменьшает периметр атак
Но ты о таком не слышал, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36

35. Сообщение от Аноним (41), 24-Май-23, 11:17   +2 +/
Там ни слово про HTTP/2 ты просто так ссылку дал не читая? Возьми HTTP/2 сервис и зареверсься на него через nginx и ничего не будет работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

36. Сообщение от Аноним (41), 24-Май-23, 11:19   +/
Атак на твой мозг рептилоидами с Нибиру? Тем тебе не http надо отключать, а шапочку из фольги надевать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #66, #68

37. Сообщение от Ilya Indigo (ok), 24-Май-23, 11:31   +/
> HTTP/2.0" 200 161512 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)
> Они ходят по 2, а не по 0.9, как думают местные мамкины крякеры

Что же вы так самокритично?


200 "GET /robots.txt HTTP/1.1" 25 - - - "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
200 "GET /favicon.png HTTP/1.1" 860 - - - "Mozilla/5.0 (compatible; YandexFavicons/1.0; +http://yandex.com/bots)"


200 "GET /robots.txt HTTP/1.1" 25 - - - "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
200 "GET / HTTP/1.1" 1733 - - - "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
200 "GET /css/style.css HTTP/1.1" 1734 - - - "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Chrome/106.0.5249.119 Safari/537.36"
200 "GET / HTTP/1.1" 1733 - - - "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
404 "GET /favicon.ico HTTP/1.1" 153 - - - "Googlebot-Image/1.0"
200 "GET / HTTP/1.1" 1733 - - - "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
200 "GET /favicon.png HTTP/1.1" 860 - - - "Googlebot-Image/1.0"
200 "GET /favicon.png HTTP/1.1" 860 - - - "Googlebot-Image/1.0"
404 "GET /favicon.ico HTTP/1.1" 153 - - - "Googlebot-Image/1.0"

У меня только bing заходит по 2.0, все остальные по 1.1.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #69

38. Сообщение от rshadow (ok), 24-Май-23, 12:59   +/
Можно Istio взять чтоб все "из коробки" было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

39. Сообщение от Аноним (39), 24-Май-23, 13:07   +1 +/
А зачем?
http/2 без tls бессмысленен. А если reverse proxy проксирует с tls, то либо вы - cloudflare, либо явно делаете какую-то чушь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #40

40. Сообщение от Аноним (41), 24-Май-23, 13:21   +1 +/
Например для разработки и внутренних сервисов. Есть готовые продукты которые уже http/2 only. Тем более та же HAProxy отлично работает для данных задач. И лишних глупых вопросов не задаёт. Так что nginx остался далеко в прошлом его функционал как веб сервера уже давно остановился в развитии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #70

41. Сообщение от Аноним (41), 24-Май-23, 13:24   +/
Нет. Nginx он как Жигуль. Ты его подкрутишь вроде едет, работает. Но круиз контроль или слежение за дорогой ты в нем никогда не получишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #57, #63, #64

55. Сообщение от Аноним (55), 24-Май-23, 18:44   +1 +/
> конфиг выглядит как космический корабль

Уже не проблема когда есть chatgpt.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #67

56. Сообщение от Аноним (56), 24-Май-23, 18:46   +2 +/
Не знаю какой из тебя айтишник, но петросян так себе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

57. Сообщение от noc101 (ok), 24-Май-23, 18:54   –3 +/
Готовить не умеешь его.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

58. Сообщение от Аноним (58), 24-Май-23, 19:40   +/
Обновился но не работает директива http3_push_preload on; ее переименовали или убрали кто знает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73

60. Сообщение от Аноним (39), 24-Май-23, 19:46   +/
Конфиг там соответствует его внутреннему устройству, как и в nginx. Если не apt install и копипаст, а хотя бы 15 минут почитать документацию, то никаких проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

63. Сообщение от Аноним (63), 25-Май-23, 01:49   +/
Радует в общем-то, что лет через 5 ты уже не будешь ни водить жигуль, ни вебсерверы запускать - роботом заменят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

64. Сообщение от Аноним (-), 25-Май-23, 02:15   +/
> Нет. Nginx он как Жигуль. Ты его подкрутишь вроде едет, работает.

Его подкручивать надо 1 раз в жизни, в отличие от. Потом он просто работает. Конфиг 12-летней давности до сих пор, вот, заводится.

> Но круиз контроль или слежение за дорогой ты в нем никогда не получишь.

Это как? Там все есть. Получше чем у многих других. Но для начала - должно ехать. И с нормальной скоростью. Это оно точно умеет. В отличие от всякой лабуды типа опача. Зачем мне круиз контроль если драндулет с проржавевшим двиглом более 5 км/ч не выжимает? В таком виде вообще возня с ним того не стоит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

65. Сообщение от Аноним (-), 25-Май-23, 02:18   +/
> HTTP/3 = HTTP 0.333...

Ну тогда HTTP/0.9 == HTTP 1.1... интересно IETF в курсе? Пора RFC апдейтить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

66. Сообщение от Аноним (-), 25-Май-23, 03:15   +2 +/
> Атак на твой мозг рептилоидами с Нибиру? Тем тебе не http надо
> отключать, а шапочку из фольги надевать.

HTTP/1 с своими текстовыми заголовками дает неиллюзорный attack surface, особенно если есть деление на фронт и бэк, по пути какой либо прокси, аппсервер какой, или что там еще.

Видите ли текст можно парсить немного по разному, а когда фронт и бэк видят мир по разному, реагируя на нарушение спеков в парсинге текста несимметрично, атакующий устраивает знатный хаос. И вот уже его запрос прилепляется к вашему. Под вашей авторизацией и всем таким. Можно от вашего лица вон там в админке что-то сделать. Или сообщение запостить. Или что там еще. Если по пути HTTP/2 от и до - там такие номера сложнее уже. И львиная доля проблем как раз из текстовой природы H1 и фривольных идей кодеров как по их мнению надо текст обрабатывать vs то что в спеках vs то что другая группа кодеров на эту тему себе мнила.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

67. Сообщение от Аноним (-), 25-Май-23, 03:18   +/
>> конфиг выглядит как космический корабль
> Уже не проблема когда есть chatgpt.

Так это, попросите его нарисовать в каде варпдрайв чтоли? Задолбало же на керосиновх ракетах летать. Даешь нормальные космические корабли. И нахрен конфиги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

68. Сообщение от Капитан Очевидность (?), 25-Май-23, 10:19   +/
> Атак на твой мозг рептилоидами с Нибиру? Тем тебе не http надо
> отключать, а шапочку из фольги надевать.

Говорил один умный еврей не метать перед вами жемчуг, но ок, в трех классах ЦПШ ты этого учить не мог, это да

Смотри. У тебя есть веб-сервер. Он торчит наружу портами, потому что он - веб-сервер. И вот у тебя в нем есть реализации протоколов http/0.9, http/1.0, http/1.1 и http/2
Это все разный код, потому что прокотолы разные
В каждом потенциально есть уязвимости, переполнения буферов и прочее, никто не идеален

И вот ты набрав статистику видишь, что у тебя валидные клиенты ходят только по http/2, а по старым протоколам ходят только какие-то кривые боты

Что произойдет если ты выключишь поддержку старых протоколов? Да еще и зарубишь обращения по ним на WAF? У тебя уменьшиться периметр атаки, так как ты перестал использовать кучу старого необслуживаемого кода, но при этом у тебя все прекрасно с доступом для валидных клиентов, потому что они ходят по http/2

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

69. Сообщение от Капитан Очевидность (?), 25-Май-23, 10:22   +/
> У меня только bing заходит по 2.0, все остальные по 1.1.

Скорее всего проблема у тебя с http/2
Пробовали заходить, не смогли, отметили, что у тебя только 1.1 работает и ходят по нему

У меня 10 проектов совершенно разной направленности, везде поисковые боты ходят по http/2

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

70. Сообщение от Капитан Очевидность (?), 25-Май-23, 10:30   +/
> Например для разработки и внутренних сервисов. Есть готовые продукты которые уже http/2
> only. Тем более та же HAProxy отлично работает для данных задач.
> И лишних глупых вопросов не задаёт. Так что nginx остался далеко
> в прошлом его функционал как веб сервера уже давно остановился в
> развитии.

Чувак, с функциями веб-сервера у него, как раз, все идеально
Работает, как швейцарские часы
Реверс-прокси же это не функция веб-сервера, а то ты так еще сквид объявишь веб-сервером

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

71. Сообщение от Анонимemail (71), 25-Май-23, 13:47   +/
Не совсем понятно в чем вопрос? nginx тебе может сделать проксирование начального http запроса со всеми нужными хедерами, а потом всего что пойдет дальше по websocket соединению. Еще можешь настроить tls, чтобы соединяться по wss://

Дальше работает твое приложение хоть на node.js, хоть на Си, это неважно.

Но главное, при чем тут HTTP/3? В вебсокет приложении обычно только один http запрос - начальный, для установления websocket соединения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #72

72. Сообщение от Капитан Очевидность (?), 25-Май-23, 17:45   +/
Судя по всему пациент спрашивал про Unit, а не про nginx
Какой-то альтернативно одаренный персонаж же в хвост новости засунул еще текст про  Unit
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

73. Сообщение от Аноним (6), 25-Май-23, 19:34   +/
Пуши же закопали. Или это только для второго HTTP было?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

74. Сообщение от Аноним (-), 25-Май-23, 20:04   +/
> git cherry-pick

У этих извращенцев hg до сих пор.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

75. Сообщение от дартвейдер337 (?), 27-Май-23, 10:07   +/
Вкусный смузи? Веганский это без гмо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру