Re: SSI для бинарных данных или аналог

Fedor Dikarev fe на hamilton.rinet.ru
Вт Сен 11 09:02:20 UTC 2018


11.09.2018 10:08, Илья Шипицин пишет:
>
>
> вт, 11 сент. 2018 г. в 9:42, Fedor Dikarev <fe на hamilton.rinet.ru
> <mailto:fe на hamilton.rinet.ru>>:
>
>     Привет!
>
>     Столкнулся с задачей: хотим чтобы nginx собирал бинарный ответ из
>     частей. Пример задачи: клиент скачивает из личного кабинета установщик
>     (exe файл), а мы в конец этого exe файла дописываем json с
>     конфигурацией
>
>
> установщики в виде exe считаются небезопасными из-за dll hijacking
> (например, вот тут разобрано: https://portableapps.com/node/54917 )
>
>
> если у вас exe с цифровой подписью, то дописать в конец не получится.
> если без подписи - вас пользователи замучают "у меня виндовс ругается
> на недоверенный файл"

Файл с подписью. И разработчики утверждают, что подписывается не весь
файл целиком, а только ключевые части, которые меняться не будут.

И вот тут утверждают тоже самое:

> https://stackoverflow.com/questions/47646135/where-is-the-digital-signature-stored-when-code-signing-a-exe-file-in-windows
А здесь это подтверждают:

> http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx
но в любом случае проверю что все ок. Если нет, то придется выносить
логику в отдельную программу и переподписывать.

>
> кажется, лучшим вариантом было бы привязка программы к некому feed,
> откуда бы программа
> скачивала настройки

ну там не только настройки, хотя даже в случае настроек доступ к feed-у,
в общем случае, надо как-то авторизовать, да и доступа к интернету может
не быть в момент установки.

И плюс там не только настройки, но еще брэндирование: в зависимости то
того, из какого раздела пользователь скачал установщик, надо
подкладывать разные иконки и background-ы.

>
>  
>
>     для этого клиента. И собственно при первом запуске пользователю не
>     надо
>     вбивать адреса серверов и другие базовые настройки, все уже на месте.
>
>     Собственно можно ли через SSI собирать бинарные ответы?
>
>     Или можно ли как-то из своего скрипта сделать chunked ответ, где через
>     X-Accel-Redirect отдать первую бинарную часть ответа, а потом выдать
>     контент с конфигурацией?
>     -- 
>     Fedor Dikarev
>     _______________________________________________
>     nginx-ru mailing list
>     nginx-ru на nginx.org <mailto:nginx-ru на nginx.org>
>     http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20180911/1de0d76c/attachment.html>


Подробная информация о списке рассылки nginx-ru