ограничение размера proxy_temp
Dmitriy MiksIr
miksir at maker.ru
Fri Apr 27 14:55:04 MSD 2007
Denis F. Latypoff пишет:
> Hello AleXXX,
>
> Friday, April 27, 2007, 5:06:02 PM, you wrote:
>
>> Чушь какая.... это же интернал урл.....
>> с какого вдруг он станет показывать в etc?
>
> Ну а где тогда дыра?
>
Дыра в том, что клиент апача может выдавать редирект в какой-нибудь "не
тот" internal локейшен. Но, имхо, очень надуманная проблема. Возможно,
еще есть какие-то специфичные конфигурации нгинкса, где это может
навредить. Больше идей нет.
>> On Fri, 27 Apr 2007 16:53:53 +0700
>> "Denis F. Latypoff" <latypoff at yandex.ru> wrote:
>
> DFL>> Hello Dmitriy,
> DFL>>
> DFL>> Friday, April 27, 2007, 4:29:04 PM, you wrote:
> DFL>>
> DFL>> > Vasiliy Tolstov пишет:
> DFL>>
> DFL>> >>> Есть и модуль для этого
> DFL>> >>> http://miksir.pp.ru/?r=69
> DFL>> >>
> DFL>> >> К сожалению учитывая дырку в безопасности при использовании данного
> DFL>> >> экстеншена - все же не хочется его ставить :(
> DFL>> >>
> DFL>>
> DFL>> > Если честно, я до конца сам не понял, в чем там потенциальная дырка,
> DFL>> > но на всякий случай решил попугать ;)
> DFL>>
> DFL>> Дырка в том, что на масс хостинге пользовательский скрипт может
> DFL>> выдвавть в заголовке X-Accel-Redirect: /etc/passwd ;) Результат будет
> DFL>> в зависимости от того, как настроен nginx.
> DFL>>
> DFL>> --
> DFL>> Best regards,
> DFL>> Denis Latypoff mailto:latypoff at yandex.ru
> DFL>>
>
>
>
>
More information about the nginx-ru
mailing list