Apache HTTPd Entwickler als schädlich angesehen

[ENTWURF] Zuletzt aktualisiert von Joe Schaefer auf Fr., 26 Apr. 2024    Quelle
 

geteert und gefiedert.

Hintergrund

In den letzten 25 Jahren war ich der führende Entwickler der Voreinstellung Teilprojekt innerhalb des Apache HTTPd-Server Übergeordnetes Projekt. Die ursprüngliche Idee von Libapreq, als Safe/Performant HTML-Formularweiterleitung und Cookies.

Damals war es meine Vision, die Bibliothek in ein generisches, nicht perlbezogenes C Bibliothek, die Sprachbindungen aus anderen Programmiersprachen unterstützen würde, weshalb ich mich für das Projekt homed unter dem Regenschirm HTTPd statt der Apache-Perl.

Mit dem Aufkommen von httpd-2. X, eine völlig neue I/O-Filter Architektur entstand aus HTTPD Kern, sowie die vollständige Trennung von Jahreszins aus dem Kern selbst als allgemeine POSIX-ähnliche Portabilitätslaufzeit für C Projekte wie Subversion. Tatsächlich, libapreq2 enger mit der Apache APR Projekt in diesem Sinne, und seine Perl API spiegelt das als Teil seiner APR::Anforderung aufbauen. Es verfügt über einen eingebauten CGI-Modus für den Standalone-Betrieb außerhalb der HTTPD

Die Schlüsselkomponente von apreq2 war immer der mod_apreq2 Apache-Modul, das zuerst von Bill Wrowe Anfang der 2000er Jahre. Was er während einer Brainstorming-Sitzung mit mir (persönlich) entwarf, war eine einzelne Parserbibliothek, die HTTPD

Ich habe die Designziele im Laufe der Jahre mehrmals erklärt, auch im Jahr 2012 auf Gerät@httpd.

Sturmwolken sammeln

Während diese Vision sehr erfolgreich war, mit Sprachbindungen für mehrere Sprachen wie Perl, PHP, TCL, R, etc., seit etwa 2010 hat es sich als tragisch für die vorhandene Benutzercommunity bestehend aus allen, nicht nur aus den Mitgliedern der Perl

Was ist passiert? Philip Gollucci, ein damaliger Perl/FreeBSD-Kollege von mir, begann zu rühren, dass wir das Projekt fördern, das aus dem HTTPd-Server selbst heraus freigegeben werden soll. Was Philip wusste damals nicht genau, wie sehr er peevish, vapid und territorial Das Team wurde, was bedeutet hätte, direkt mit ihnen zusammenarbeiten zu müssen Entscheidungen für Benutzer.

Im Jahr 2012 bekam Philip, was er wollte, und ich hörte auf zu widerstehen, so dass er Verzweigt das bestehende Projekt und das C

Fallout

Im Jahr 2018.

Im Jahr 2020 oder so nutzte Google’s Security Team eine Alpha-Version von httpd 2.5, indem es seine 8-jährige Kopie von apreq2

Anstatt die Höflichkeit zu haben, Philip zu erreichen, Issac Goldstand, Max Kellermann (@MaxKellermann), mich selbst (@joesuf4) oder andere Personen, die an der Entwicklung von libapreq2

Aber der Coup de Grace war die 2022 Freilassung von 2.17, wobei der Rookie-Entwickler Absichtlich einen fatalen Bug in die Codebasis eingeführt, brechen Ein neunzehnjähriger Regressionstest.

Postmortem

Wenn Sie sich fragen, wie sich etwas mit einem gebrochenen Regressionstest entwickelt CPAN, müssen Sie sich ansehen, wie ERNEUT VERBINDEN.

Lange Geschichte kurz, Sie kommentierten den Test und es trotzdem verschickt und es als Sicherheits-Release bezeichnet, Sicherheitslücke behoben, für die jede vorherige Version anfällig war.

Superman-Logo.

Warum kümmere ich mich jetzt? Weil ich der Sauger bin Benutzer wenden sich an Antworten.

Das saugt, aber es tut mir leid, Ihnen zu sagen, dass meine Tage mit dem Superman-Umhang in Apache vor etwa einem Jahrzehnt endeten.

Permalink  #apache   #httpd   #libapreq2   #mod_apreq2   #mod_perl  

 

   

Kommentare  



Index

Heyoka



NonFunctional Tests


 

  • Git und Non Repudation — Es gibt einen klaren Unterschied zwischen der “Commit”-Geschichte und der “Upload”-Geschichte … Sa., 27 Apr. 2024

 

  • Verteilerlisten — Diese temporären Adressen sind ein Anathema für ezmlm-idx‘s Abo- und Moderationssysteme … Sa., 27 Apr. 2024

 

  • Informationssicherheits-Primer — Alle Daten, die aus einem UNIX Systemaufruf zur Laufzeit stammen, müssen als erhalten behandelt werden … Sa., 27 Apr. 2024

 

  • Die Freude der DTrace — Messen Sie zweimal, schneiden Sie einmal, bevor Sie mit einer Codeoptimierung beginnen … Mi., 17 Apr. 2024

 


COVID-19. März 2020

  • Exponentielles Wachstum und COVID-19 — Nehmen Sie sich Zeit für den Abschnitt Mathematik — Es ist wichtig, ein gebildeter Verbraucher von Statistiken zu sein, die für die aktuelle Pandemie relevant sind … Mo., 30 Jan. 2023

 

  • Über das Spam-Problem… — Das beste Plugin für qpsmtpdObwohl es schwierig ist zu verstehen, warum … So., 29 Jan. 2023

Hyperbolische Wabe


 

  • Spaß mit htop — Erweiterte htop-Funktionen auf beliebten Unix-Plattformen … Do., 19 Jan. 2023

Informationsarchitektur

  • Informationsarchitektur — Die gesamte Bandbreite an Technologien, die für das Design, die Präsentation, die Beziehungen und die architektonischen Einschränkungen relevant sind, die jede von Ihnen bereitgestellte URL abdecken … Mo., 11 März 2024

Englischsprachige Abhängigkeiten


 

  • Die Bewegung DevOps — Die große Idee hinter der “Bewegung” ist nicht nur, den Entwicklern mehr Seil zu geben … Fr., 26 Apr. 2024

 

  • Anwendungsperformance — Viele Entwickler fallen in die Falle des Denkens, dass es bei der Leistungsoptimierung darum geht, jede Codezeile so effizient wie möglich zu machen. … Fr., 26 Apr. 2024