Apache HTTPd Entwickler als schädlich angesehen
.
Hintergrund
In den letzten 25 Jahren war ich der führende Entwickler der Voreinstellung
Teilprojekt innerhalb des Apache HTTPd-Server Übergeordnetes Projekt. Die ursprüngliche Idee von Libapreq
, als Safe/Performant HTML-Formularweiterleitung und Cookies.
Damals war es meine Vision, die Bibliothek in ein generisches, nicht perlbezogenes C
Bibliothek, die Sprachbindungen aus anderen Programmiersprachen unterstützen würde, weshalb ich mich für das Projekt homed unter dem Regenschirm HTTPd statt der Apache-Perl.
Mit dem Aufkommen von httpd-2. X
, eine völlig neue I/O-Filter
Architektur entstand aus HTTPD
Kern, sowie die vollständige Trennung von Jahreszins
aus dem Kern selbst als allgemeine POSIX-ähnliche Portabilitätslaufzeit für C
Projekte wie Subversion
. Tatsächlich, libapreq2
enger mit der Apache APR
Projekt in diesem Sinne, und seine Perl API spiegelt das als Teil seiner APR::Anforderung
aufbauen. Es verfügt über einen eingebauten CGI-Modus für den Standalone-Betrieb außerhalb der HTTPD
Die Schlüsselkomponente von apreq2
war immer der mod_apreq2
Apache-Modul, das zuerst von Bill Wrowe
Anfang der 2000er Jahre. Was er während einer Brainstorming-Sitzung mit mir (persönlich) entwarf, war eine einzelne Parserbibliothek, die HTTPD
Ich habe die Designziele im Laufe der Jahre mehrmals erklärt, auch im Jahr 2012 auf Gerät@httpd.
Sturmwolken sammeln
Während diese Vision sehr erfolgreich war, mit Sprachbindungen für mehrere Sprachen wie Perl
, PHP
, TCL
, R
, etc., seit etwa 2010 hat es sich als tragisch für die vorhandene Benutzercommunity bestehend aus allen, nicht nur aus den Mitgliedern der Perl
Was ist passiert? Philip Gollucci, ein damaliger Perl/FreeBSD-Kollege von mir, begann zu rühren, dass wir das Projekt fördern, das aus dem HTTPd-Server selbst heraus freigegeben werden soll. Was Philip wusste damals nicht genau, wie sehr er peevish, vapid und territorial Das Team wurde, was bedeutet hätte, direkt mit ihnen zusammenarbeiten zu müssen Entscheidungen für Benutzer.
Im Jahr 2012 bekam Philip, was er wollte, und ich hörte auf zu widerstehen, so dass er Verzweigt das bestehende Projekt und das C
Fallout
Im Jahr 2020 oder so nutzte Google’s Security Team eine Alpha-Version von httpd 2.5, indem es seine 8-jährige Kopie von apreq2
Anstatt die Höflichkeit zu haben, Philip zu erreichen, Issac Goldstand, Max Kellermann (@MaxKellermann), mich selbst (@joesuf4) oder andere Personen, die an der Entwicklung von libapreq2
Aber der Coup de Grace war die 2022 Freilassung von 2.17, wobei der Rookie-Entwickler Absichtlich einen fatalen Bug in die Codebasis eingeführt, brechen Ein neunzehnjähriger Regressionstest.
Postmortem
Wenn Sie sich fragen, wie sich etwas mit einem gebrochenen Regressionstest entwickelt CPAN, müssen Sie sich ansehen, wie ERNEUT VERBINDEN.
Lange Geschichte kurz, Sie kommentierten den Test und es trotzdem verschickt und es als Sicherheits-Release bezeichnet, Sicherheitslücke behoben, für die jede vorherige Version anfällig war.
.
Warum kümmere ich mich jetzt? Weil ich der Sauger bin Benutzer wenden sich an Antworten.
Das saugt, aber es tut mir leid, Ihnen zu sagen, dass meine Tage mit dem Superman-Umhang in Apache vor etwa einem Jahrzehnt endeten.