Ikonoklast
Home » Categories » Perl  

Apache HTTPd Entwickler als schädlich angesehen

[ENTWURF] Zuletzt aktualisiert von Joe Schaefer auf Fr., 26 Apr. 2024    Quelle

 

geteert und gefiedert.

Hintergrund

In den letzten 25 Jahren war ich der führende Entwickler der Voreinstellung Teilprojekt innerhalb des Apache HTTPd-Server Übergeordnetes Projekt. Die ursprüngliche Idee von Libapreq, als Safe/Performant HTML-Formularweiterleitung und Cookies.

Damals war es meine Vision, die Bibliothek in ein generisches, nicht perlbezogenes C Bibliothek, die Sprachbindungen aus anderen Programmiersprachen unterstützen würde, weshalb ich mich für das Projekt homed unter dem Regenschirm HTTPd statt der Apache-Perl.

Mit dem Aufkommen von httpd-2. X, eine völlig neue I/O-Filter Architektur entstand aus HTTPD Kern, sowie die vollständige Trennung von Jahreszins aus dem Kern selbst als allgemeine POSIX-ähnliche Portabilitätslaufzeit für C Projekte wie Subversion. Tatsächlich, libapreq2 enger mit der Apache APR Projekt in diesem Sinne, und seine Perl API spiegelt das als Teil seiner APR::Anforderung aufbauen. Es verfügt über einen eingebauten CGI-Modus für den Standalone-Betrieb außerhalb der HTTPD

Die Schlüsselkomponente von apreq2 war immer der mod_apreq2 Apache-Modul, das zuerst von Bill Wrowe Anfang der 2000er Jahre. Was er während einer Brainstorming-Sitzung mit mir (persönlich) entwarf, war eine einzelne Parserbibliothek, die HTTPD

Ich habe die Designziele im Laufe der Jahre mehrmals erklärt, auch im Jahr 2012 auf Gerät@httpd.

Sturmwolken sammeln

Während diese Vision sehr erfolgreich war, mit Sprachbindungen für mehrere Sprachen wie Perl, PHP, TCL, R, etc., seit etwa 2010 hat es sich als tragisch für die vorhandene Benutzercommunity bestehend aus allen, nicht nur aus den Mitgliedern der Perl

Was ist passiert? Philip Gollucci, ein damaliger Perl/FreeBSD-Kollege von mir, begann zu rühren, dass wir das Projekt fördern, das aus dem HTTPd-Server selbst heraus freigegeben werden soll. Was Philip wusste damals nicht genau, wie sehr er peevish, vapid und territorial Das Team wurde, was bedeutet hätte, direkt mit ihnen zusammenarbeiten zu müssen Entscheidungen für Benutzer.

Im Jahr 2012 bekam Philip, was er wollte, und ich hörte auf zu widerstehen, so dass er Verzweigt das bestehende Projekt und das C

Fallout

Im Jahr 2018.

Im Jahr 2020 oder so nutzte Google’s Security Team eine Alpha-Version von httpd 2.5, indem es seine 8-jährige Kopie von apreq2

Anstatt die Höflichkeit zu haben, Philip zu erreichen, Issac Goldstand, Max Kellermann (@MaxKellermann), mich selbst (@joesuf4) oder andere Personen, die an der Entwicklung von libapreq2

Aber der Coup de Grace war die 2022 Freilassung von 2.17, wobei der Rookie-Entwickler Absichtlich einen fatalen Bug in die Codebasis eingeführt, brechen Ein neunzehnjähriger Regressionstest.

Postmortem

Wenn Sie sich fragen, wie sich etwas mit einem gebrochenen Regressionstest entwickelt CPAN, müssen Sie sich ansehen, wie ERNEUT VERBINDEN.

Lange Geschichte kurz, Sie kommentierten den Test und es trotzdem verschickt und es als Sicherheits-Release bezeichnet, Sicherheitslücke behoben, für die jede vorherige Version anfällig war.

Superman-Logo.

Warum kümmere ich mich jetzt? Weil ich der Sauger bin Benutzer wenden sich an Antworten.

Das saugt, aber es tut mir leid, Ihnen zu sagen, dass meine Tage mit dem Superman-Umhang in Apache vor etwa einem Jahrzehnt endeten.

#apache   #httpd   #libapreq2   #mod_apreq2   #mod_perl  

 

   

Kommentare

Index

 

  • Informationssicherheits-Primer — Alle Daten, die aus einem UNIX Systemaufruf zur Laufzeit stammen, müssen als erhalten behandelt werden … Sa., 27 Apr. 2024

 

  • Über das Spam-Problem… — Das beste Plugin für qpsmtpdObwohl es schwierig ist zu verstehen, warum … So., 29 Jan. 2023

 

  • Verteilerlisten — Diese temporären Adressen sind ein Anathema für ezmlm-idx‘s Abo- und Moderationssysteme … Sa., 27 Apr. 2024

Sonnenstaronly