Re: 1.1.15 - картинки.

[Валентин Бартенев]

On Monday 20 February 2012 02:46:57 adept wrote:
> Насколько я понял, толку от disable_symlinks -
> 0.0%, ибо нормально использовать его не
> выйдет.
> И исправлять это ни кто не собирается.
> 

Вам шашечки или ехать? К сожалению, в настоящий момент на Linux системах нету 
флагов O_SEARCH/O_EXEC для открытия каталога, поэтому чтобы проверить отсутствие 
симлинков открывать все промежуточные директории приходится с O_RDONLY.

Так, что если хотите проверять симлинки, то необходимо давать nginx права на 
чтение всех промежуточных каталогов. Реальной угрозы безопасности в этом IMHO 
нету.

В ближайшее время выйдет патч исправляющий ситуацию на Solaris, FreeBSD 8 и выше, 
а также некоторых bleeding edge Linux-дистрибутивов (типа Arch Linux, где уже 
появился флаг O_PATH).

Частичным решением проблемы могла бы стать возможность явного указания каталога 
от которого начинать проверку симлинков, но таковая требует ещё значительного 
времени и усилий на реализацию. Так что рекомендую поставить +r и набраться 
терпения.

--
Валентин Бартенев