Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx-1.3.1

To: nginx-ru@xxxxxxxxx
Subject: Re: nginx-1.3.1
From: Maxim Dounin <mdounin@xxxxxxxxxx>
Date: Mon, 17 Sep 2012 21:22:40 +0400
In-reply-to: <dd1dadcb6028c85ce77c304e660fdc2d.NginxMailingListRussian@forum.nginx.org>
References: <20120917111543.GZ40452@mdounin.ru> <dd1dadcb6028c85ce77c304e660fdc2d.NginxMailingListRussian@forum.nginx.org>

Hello!

On Mon, Sep 17, 2012 at 11:19:02AM -0400, ruv wrote:

> День добрый!
> 
> > > >     *) Безопасность: теперь nginx/Windows игнорирует точку в конце
> > > >        компонента URI и не разрешает URI, содержащие
> > > > последовательность ":$".
> > 
> > Да, это связано именно с этим изменением.  Под windows точка в 
> > конце любого имени файла/каталога - не значащая, и такие uri нужно 
> > либо отвергать, либо нормализовывать.  В противном случае имеем 
> > возможность обхода ограничений доступа.  До 1.3.1 делалось 
> > нормализация только для последнего компонента пути, сейчас - для 
> > всех.
> 
> Дело еще в том, что ведь далеко не каждый URI отображается на файловую
> систему.
> Поэтому, я думаю, при передаче бэкенду допустимо проводить нормализацию
> только если специально указано в конфиге (как например merge_slashes).
> Понимаю, тут возникает трудность в реализации. В location ведь сейчас
> сопоставляется нормализованный URI.  Может быть тогда эту нормализацию тоже
> опцией отключать (будет полная аналогия merge_slashes)?

Нормализовывать (или отвергать) необходимо по умолчанию, ибо в 
противном случае конфигурация вида

    location /admin/ {
        auth_basic ...
    }

на виндах превращается в фикцию.  В частности - при передаче 
запросов бекенду, т.к. типичный бекенд (читай: php) открыват файлы 
без каких-либо дополнительных проверок.

Сделать нормализацию отключаемой, снабдив надписью "берегись 
леопарда" (a la merge_slashes), - можно, но не факт, что нужно.  
Особенно с учётом того, что отключать это можно только для всех 
виртуальных хостов на паре ip:port разом.

> > Если нужно проксировать без нормализации uri (в предположении, что 
> > бекенд сам справится с этой проблемой, и/или он не на виндах) - 
> > должно помочь написание директивы proxy_pass без URI, i.e.
> > 
> >     proxy_pass http://backend;
> > 
> > без "/" в конце.
> 
> Но, в таком случае не подменяется часть URI запроса, соответствующая
> location.  И тоже получается несовместимость ? придется править код на
> бэкендах, появится лишняя связаность и зависимость...

Ну как мнимум два пути решения проблемы очевидны: отказаться от 
trailing dots или использовать proxy_pass без URI.  И я совершенно 
не уверен, что изобретать третий, притом не безопасный путь - это 
хорошая идея.

Maxim Dounin

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: nginx-1.3.1
  - From: ruv

References:
- Re: nginx-1.3.1
  - From: Maxim Dounin
- Re: nginx-1.3.1
  - From: ruv

Prev by Date: Re: Auto detect the number of CPU's and set worker_processes
Next by Date: Re: Auto detect the number of CPU's and set worker_processes
Previous by thread: Re: nginx-1.3.1
Next by thread: Re: nginx-1.3.1
Index(es):
- Date
- Thread