ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: ограничение размера proxy_tem p



Hello Александр,

Friday, April 27, 2007, 3:08:27 PM, you wrote:

> Vasiliy Tolstov пишет:
>> proforg wrote:
>>>
>>> Есть и модуль для этого
>>> http://miksir.pp.ru/?r=69
>> 
>> К сожалению учитывая дырку в безопасности при использовании данного 
>> экстеншена - все же не хочется его ставить :(
> С сайта
 >>Схема редиректов вносит потенциальную дыру в безопасности 
 >>масс-хостинга, о которой следует упомянуть. Речь идет о случаях, когда 
 >>клиент, используя свои скрипты, может сам выдать заголовок 
 >>X-Accel-Redirect. Теоретически там может быть редирект на чужой файл 
 >>(т.е. файл другого клиента). Хотя X-Accel-Redirect не может содержать 
 >>имя хоста и отсчитывается от текущего root, об этой проблеме следует 
 >>помнить  при создании собственной конфигурации.

> В случае  1 клиент -  1 докрут проблем не будет.
> Ну а когда к одному вхосту имеют ftp-доступ несколько клиентов то это 
> уже дыра в безопасности.

> в конце концов выключите буфферизацию у nginx например так
> proxy_max_temp_file_size  0;

Я так подозреваю, что у Vasiliy Tolstov не масс-хостинг, скрипты там
только его, так что можно использовать X-Accel-Redirect на всю
катушку. Отдавать mp3,avi (большие файлы) с backend'а это плохо.
Возможно Vasiliy Tolstov не учитывает, что если в apache стоит
MaxClients 150, то в случае 150-ти одновременных закачек больших
файлов его сайт будет попросту недоступен.

-- 
Best regards,
 Denis Latypoff                          mailto:latypoff@xxxxxxxxx




 




Copyright © Lexa Software, 1996-2009.