Apache HTTPd Devs נחשב מזיק
Joe Schaefer
.
רקע
במשך 25 השנים האחרונות, אני היזם הראשי של בקשה תת-פרויקט בתוך שרת Apache HTTPd פרויקט אב. הרעיון המקורי של בקשת שפהכבטוח/מבצע שליחת טופס HTML וגם עוגייה.
זה היה החזון שלי אז להפוך את הספרייה לגנרית, לא פרל קשורה. ג' ספרייה שתתמוך בכריכות שפה משפות תכנות אחרות, ולכן דחפתי את הפרויקט להיות הומואים תחת המטרייה HTTPd במקום אפאצ’י-פרל.
עם הופעתו של httpd-2. אקסטרה, חדש לגמרי מסנן קלט/פלט הארכיטקטורה הופיעה מתוך פרוטוקול HTTP כמו גם הפרדה מוחלטת של שער ריבית שנתית מהליבה עצמה כמטרה כללית יותר - זמן ריצה של ניידות דמוי POSIX ג' פרויקטים כמו תת-גרסה. . למעשה, libapreq2 הוא קרוב יותר עם אפאצ'י APR הפרויקט ברוח זו, וה-API של פרל משקף זאת כחלק ממנה APR::בקשה בנייה. יש לו מצב מובנה של CGI לפעולה עצמאית, מחוץ ל- פרוטוקול HTTP
עם זאת, המרכיב העיקרי של apreq2 תמיד היה mod_apreq2 מודול אפאצ’י, שנתפס לראשונה על ידי ביל ורוב בתחילת שנות ה-2000. מה שהוא עיצב, במהלך סיעור מוחות איתי (באופן אישי), היה ספריית מנתח אחת פנימית. פרוטוקול HTTP
הסברתי את מטרות העיצוב מספר פעמים במהלך השנים, אפילו ב-2012. פיתוח@httpd.
סטורם עננים מתאספים
בעוד חזון זה היה מוצלח להפליא, עם כריכות שפה זמין עבור מספר שפות כמו פרל, דף בית אישי, רשימת בקרת גישה, Rמאז שנת 2010 היא הוכיחה את עצמה כטרגית. קהילת משתמשים קיימת התבססות על כולם, לא רק על החברים ב- פרל
מה קרה? פיליפ גולוצ’י, עמית פרל / FreeBSD שלי באותו זמן, התחיל נסער כי אנו מקדמים את הפרויקט להשתחרר מתוך שרת HTTPd עצמו. מה פיליפ לא ידע כל כך טוב אז היה עד כמה מציצה, vapid, וטריטוריאלית הקבוצה הזו הפכהמה שהיה צריך לעשות כדי לשתף פעולה איתם ישירות החלטות מוכוונות משתמש.
בשנת 2012, פיליפ קיבל את מה שהוא רצה ואני הפסקתי להתנגד, אז הוא ממולא הפרויקט הקיים והעתק את ג'
מס’ הנפילות
בשנת 2020, צוות האבטחה של גוגל ניצל את גרסת האלפא של httpd 2.5 על ידי תיעוב העותק בן ה-8 של גוגל. apreq2
במקום לקבל את האדיבות להגיע אל פיליפ, יצחק גולדסטנד, קלרמן, מקס, (@MaxKellermann), את עצמי (@joesuf4), או כל גורם אחר המעורב בפיתוח של libapreq2
אבל ההפיכה דה גרייס היה שחרור 2022 של 2.17איפה מפתח רוקי הכניס בכוונה באג מכריע לבסיס הקוד, שבירה מבחן רגרסיה בן תשע עשרה.
פוסט-מורטם
אם אתה תוהה איך משהו עם מבחן רגרסיה שבור מתפתח על לקוחתצטרכו לבדוק איך רלנג.
סיפור ארוך קצר, הם הגיבו על המבחן הוא שלח אותה בכל מקרה, וקרא לה “שחרור ביטחוני”. תיקון פגיעות שכל גרסה קודמת הייתה חשופה ל.
.
למה אכפת לי עכשיו? כי אני המציצה משתמשים מגיעים לתשובות.
זה מבאס, אבל אני מצטער לספר לכם שהימים שלי שלבשו את הכף של סופרמן באפאצ’י הסתיימו לפני כעשור.