Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx-0.3.8

To: nginx-ru@xxxxxxxxx
Subject: Re: nginx-0.3.8
From: Igor Sysoev <is@xxxxxxxxxxxxx>
Date: Thu, 10 Nov 2005 10:32:59 +0300 (MSK)
In-reply-to: <E1Ea6b3-000Diy-00.darkden-mail-ru@xxxxxxxxxxx>
References: <E1Ea6b3-000Diy-00.darkden-mail-ru@xxxxxxxxxxx>

On Thu, 10 Nov 2005, Artem Danilenko wrote:

можно поподробней знать про вот это изменение:

Безопасность: nginx теперь проверят URI, полученные от бэкенда в строке 
"X-Accel-Redirect" в заголовке ответа, или в SSI файле на наличие путей "/../" 
и нулей.


дело в том что пришлось откатится на nginx-0.3.7
в 0.3.8 перестала работать безопасная раздача файлов, в error.log появились 
строчки
unsafe URI "/fl/40/iFD.zip" was detected while reading response header from upstream, client: 
192.168.216.47, server: www.example.com, URL: 
"/dwl/bd8c9935a79bfba9da3bb8f05df9187f4372e8ac/40/iFD.zip", host: "www.example.com"
а без такова URI я не представляю как делать уникальные ссылки на файлы...


Это ошибка. Сейчас будет nginx-0.3.9.


Игорь Сысоев
http://sysoev.ru

References:
- Re: nginx-0.3.8
  - From: Artem Danilenko

Prev by Date: Re: nginx-0.3.8
Next by Date: nginx-0.3.9
Previous by thread: Re: nginx-0.3.8
Next by thread: Re: nginx-0.3.8
Index(es):
- Date
- Thread