URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131938
[ Назад ]
Исходное сообщение
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимостей в HTTP/2"
Отправлено opennews , 31-Окт-23 11:54 
Опубликован релиз легковесного http-сервера lighttpd 1.4.73, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки.  Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60023

Содержание
Сообщения в этом обсуждении
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено OpenEcho , 31-Окт-23 11:54 
> При аномально большом числе поступающих запросов реализована отправка ответов "GOAWAY"

Все сразу послушались и пошли нах...

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено ryoken , 31-Окт-23 12:14 
Как-то они не так "F_U" написали :D.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Второй из Кукуева , 31-Окт-23 15:17 
The GOAWAY frame (type=0x7) is used to initiate graceful shutdown of a connection by a server.

Это штатный ответ в http/2 такой вежливый
А вот зачем они его посылают это уже вопрос, не уверен, что он тут уместен вообще

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено fi , 31-Окт-23 12:18 
Куда им деться? ))))

а по факту — больше не выделяются ресурсы, атака отбита. На следующей стадии и IP занести в блок лист.

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Тот_Самый_Анонимус_ , 02-Ноя-23 01:25 
>блок лист

black list, чёртов толераст!

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 13:03 
зачем вообще посылать ответы? чем-то напоминает ICMP-шный "порт недоступен". Если он недоступен, то вообще не надо отвечать. Если в недоступный порт кто-то ломится, то это явно не админ. Пусть злоумышленник ждет минуту ICMP-ответа, которого никогда не будет.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Anm , 31-Окт-23 17:02 
в ICMP смысл отпал ещё лет двадцать назад.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 18:50 
>в ICMP смысл отпал ещё лет двадцать назад.

TCP (нормально) не работает без ICMP Fragmentation Needed

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 14:43 
> lighttpd 1.4.73, пытающегося сочетать [...] безопасность
> написан на языке Си

Ясно, понятно...

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=lighttpd

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 17:08 
Если аналог на Расте не написан, то и уязвимостей в нем ноль.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 15:26 
Если смотреть на ютуб, то http2 вечно лагает и тормозит, и http3 нормально работает. Раньше правда то же самое было с http1 и http2, 2 при этом работал в хромиуме и 1 в фф, из-за чего создавалось ошибочное впечатление, будто фф хуже работает (на самом деле лучше). Ещё и по времени и количеству запросов большая разница. А теперь, похоже, сайт периодически отключает 3 и 2 очень лагает.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено YetAnotherOnanym , 31-Окт-23 16:54 
> http2 вечно лагает и тормозит, и http3 нормально работает

Потому что так надо. Если хозяин прикажет - http3 начнёт лагать, а http2 будет нормально работать. Или оба будут лагать. Или оба будут нормально работать. Как хозяин решит - так и будет.

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 15:32 
А пэхэпэ к нему можно привинтить? На (не смейтесь) втором пне пойдет для лёгкого домашнего сервера?
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 16:55 
Легко, через fcgi, 5 строчек в конфиге
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено _kp , 31-Окт-23 20:34 
А почему нет, если на худосочных однопоточных ARM'ах почти без ОЗУ работает.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 21:08 
Наверно потому, что он ни разу не лайт, и не особо производительный.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено fuggy , 01-Ноя-23 00:26 
Такой не производительный, что его не так давно аж ютуб использовал.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 21:21 
> на худосочных однопоточных ARM'ах

О каких речь идёт?

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено _kp , 31-Окт-23 22:47 
Сейчас оборжутся даже коллекционеры 2х Пентиумов - завалявшийся контроллер на ARM926 c 256 ОЗУ. На нем простенький контроллер освещения для световых лент и датчиков света и температуры под Алису. Веб интерфейс на lighhttpd. ОС - LFS на базе Debian. Начинал на Raspberry делать, но попался готовый контроллер с корпусом, ключами, клемниками, но.. 200Мгц. Как ни странно работает с простой задачей бодро, а вебу претензий и вовсе нет.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 17:01 
Реализацию HTTP/2 (mod_h2) полностью взяли готовой от LiteSpeed. Вот и поплатились. Нет, чтобы как все нормальные люди использовать libnghttp2
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 22:43 
Я ещё понимаю 15 лет назад в нём был какой-то смысл (ресурсы дорогие, железо дорогое), но сейчас то чего. Нжинкс работает на любом барахле за 5 копеек.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 23:01 
Для разных роутеров, embedded устройств.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 23:15 
Просто разработку lighttpd и nginx из авторы начинали примерно в одно и то же время, ничего не зная друг о друге. В итоге сначала lighttpd (по причине отсутствующей англоязычной документации у nginx) взлетел лучше, но потом появились англоязычные (и китаеязычные, хех) энтузиасты nginx, которые сделали вики и даже написали гайд по разработке модулей, и nginx быстро всех обогнал.

По ресурсоемкости они примерно одинаковы, но nginx выигрывает в гибкости конфигурации.

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 23:51 
> nginx выигрывает в гибкости конфигурации

Что в большинстве случаев overengineering и только усложняет настройку

"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено _ , 01-Ноя-23 05:42 
Ну ЫшшО лайти CGI умеет а nginx - нет. Тогда это роляло. Сейчас понятное дело - нет :)
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено ivan_erohin , 01-Ноя-23 09:46 
я хотел порекомендовать анону выше по треду с ПХП и пентиум-3 nginx unit,
но у него нет 32bit бинарных сборок современных версий (только 64bit).