Re: Авторизация
Здравствуйте, Daniel. Вы писали 24 января 2014 г., 1:41:19: 2014/1/23 Pavel V. pavel2...@ngs.ru: Кто-нибудь может кинуть ссылку на более наглядные объяснения с более человекопонятной схемой, как это ломается? Либо может быть кто-то разъяснит на пальцах, как злоумышленник, имея одну или несколько пар userId + keyedhash сможет сгенерировать пару admin_userId + valid_keyedhash? Полным перебором это ломается. Просто процессоры стали сильно быстрые и многоядерные. SHA1 считается слишком быстро. Почему тогда нет проблемы если использовать HMAC-SHA1 ? Из-за того, что считается sha1 от вычисленного в sha1, что дает сброс внутреннего состояния хеширующей функции? -- С уважением, Pavel mailto:pavel2...@ngs.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Не отображаются картинки после ресайзинга
Здравствуйте, Miklucho. Вы писали 24 января 2014 г., 14:12:49: Мне кажется, что проблема в том, что php сравнительно медленно ресайзит изображения и из-за этого срабатывают какие-то таймауты, либо в apache, либо в nginx. Не подскажет ли кто куда мне копать? 1) Смотрите в логи 2) Смотрите в ответы сервера например в firebug (в Firefox). -- С уважением, Pavel mailto:pavel2...@ngs.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
журнал исходящих и входящих соединений
Есть ли в NGINX журнал входящих и исходящих соединений. Если есть то как его подключить и где посмотреть? access_log /home/misha/Devel/wrk/nginx/access.log; access_log on; Это ничего не дало. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246775,246775#msg-246775 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Nginx и десятки тысяч виртуальных хостов
Добрый день, коллеги! У нас возник вопрос, связанный с использованием десятков тысяч виртуальных хостов (мы рассматриваем это как одно из решений нашей задачи). Скажем, как себя теоретически может повести nginx, если у него будет, например, 10 конфигов, в каждом из них будет по 20к различных server_name? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246776,246776#msg-246776 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re[2]: Авторизация
Здравствуйте, Pavel. Кто-нибудь может кинуть ссылку на более наглядные объяснения с более человекопонятной схемой, как это ломается? Либо может быть кто-то разъяснит на пальцах, как злоумышленник, имея одну или несколько пар userId + keyedhash сможет сгенерировать пару admin_userId + valid_keyedhash? Полным перебором это ломается. Просто процессоры стали сильно быстрые и многоядерные. SHA1 считается слишком быстро. Почему тогда нет проблемы если использовать HMAC-SHA1 ? Из-за того, что считается sha1 от вычисленного в sha1, что дает сброс внутреннего состояния хеширующей функции? Нет. Вместо конкатенации данных и секретного ключа HMAC размазывает и перемешивает биты ключа по всему хэшу. Двойной sha1 видимо так же ломается. Иначе применяли бы его, а не изобретали HMAC. -- С уважением, Михаил mailto:postmas...@softsearch.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Nginx и десятки тысяч виртуальных хостов
paulstrong Wrote: --- Добрый день, коллеги! У нас возник вопрос, связанный с использованием десятков тысяч виртуальных хостов (мы рассматриваем это как одно из решений нашей задачи). Скажем, как себя теоретически может повести nginx, если у него будет, например, 10 конфигов, в каждом из них будет по 20к различных server_name? нагрузки, естественно, не маленькие, до бекендов около 100RPS, если брать во внимание статику, то возможны и все 1000RPS. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246776,246778#msg-246778 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: журнал исходящих и входящих соединений
On Jan 24, 2014, at 12:20 , misha_shar53 wrote: Есть ли в NGINX журнал входящих и исходящих соединений. Если есть то как его подключить и где посмотреть? access_log /home/misha/Devel/wrk/nginx/access.log; access_log on; access_log on создал дополнительный лог-файл on: http://nginx.org/ru/docs/http/ngx_http_log_module.html#access_log Это ничего не дало. В access.log должны быть запросы клиентов, можно туда добавать переменных, связанных с исходящими соединениями: http://nginx.org/ru/docs/http/ngx_http_upstream_module.html#variables Настаривается это с помощью log_format: http://nginx.org/ru/docs/http/ngx_http_log_module.html#log_format -- Igor Sysoev http://nginx.com ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Боевая конфигурация
Спасибо! Понял! Это и хотел услышать. По ходу дела буду мониторить и при необходимости - править узкие места! Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246702,246781#msg-246781 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Авторизация
Hello! On Fri, Jan 24, 2014 at 05:19:23PM +0700, Pavel V. wrote: Здравствуйте, Михаил. Полным перебором это ломается. Просто процессоры стали сильно быстрые и многоядерные. SHA1 считается слишком быстро. Почему тогда нет проблемы если использовать HMAC-SHA1 ? Из-за того, что считается sha1 от вычисленного в sha1, что дает сброс внутреннего состояния хеширующей функции? Нет. Вместо конкатенации данных и секретного ключа HMAC размазывает и перемешивает биты ключа по всему хэшу. Двойной sha1 видимо так же ломается. Иначе применяли бы его, а не изобретали HMAC. Я смотрел, как работает HMAC, и конечно же не имел ввиду чистую sha1(sha1(key||message)). Фактически HMAC-SHA1 это sha1(key_pad1 || sha1 (key_pad2 || message)) что не сильно далеко ушло от sha1(sha1(key||message)). В вычислениях HMAC key_pad1 и key_pad2 это сугубо статические значения, зависящие от ключа. Не совсем понятно, как происходит это размазывание и почему нельзя выбрать два _произвольных_ key_pad1 и key_pad2. Фактически блочный XOR ключа (приведенного до нужной длинны) на значения $36 и $5C дает произвольные значения, разве нет? В общем, тема интересная, читать можно много, были бы где наглядные объяснения ) А может оно и лучше, что наглядных объяснений не так много, а то переломали бы половину интернета. Наиболее наглядное объяснение про собственные MAC'и - это length extension attack на конструкции вида hash(secret || message) (aka secret prefix). http://en.wikipedia.org/wiki/Length_extension_attack Проблема, IMHO, не в том, что sha1(sha1(key||message)) - ломается (AFAIK, иначе как грубой силой - не ломается), проблема - в том, что когда люди изобретают на коленке - они зачастую ходят по давно известным и элементарным граблям. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: проксирование на Unix сокет
Hello! On Thu, Jan 23, 2014 at 11:21:35PM -0500, misha_shar53 wrote: Попытка перенаправить запрос на Unix сокет не удалась. Почему ? Хотя на SCGI естественно прошла. location /exo { proxy_pass unix:/home/misha/nginx/scgi.socket; # scgi_pass unix:/home/misha/nginx/scgi.socket; # include scgi_params; } Правильно так: proxy_pass http://unix:/home/misha/nginx/backend.socket; Должен быть указан протокол, http://;. Ну и backend.socket - должен слушаться приложением, ожидающим HTTP (а не scgi, как можно предположить из процитированного выше конфига с scgi.socket). Подробности тут: http://nginx.org/r/proxy_pass/ru -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re[2]: Авторизация
Здравствуйте, Maxim. Наиболее наглядное объяснение про собственные MAC'и - это length extension attack на конструкции вида hash(secret || message) (aka secret prefix). http://en.wikipedia.org/wiki/Length_extension_attack Там написано: The SHA-3 algorithm is not susceptible to this attack. Но как всегда, наверное, есть какие-то другие подводные камни... -- С уважением, Михаил mailto:postmas...@softsearch.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: проксирование на Unix сокет
Спасибо понял. Документация великая вещь. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246768,246789#msg-246789 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Nginx и десятки тысяч виртуальных хостов
Hello! On Fri, Jan 24, 2014 at 03:30:55AM -0500, paulstrong wrote: Добрый день, коллеги! У нас возник вопрос, связанный с использованием десятков тысяч виртуальных хостов (мы рассматриваем это как одно из решений нашей задачи). Скажем, как себя теоретически может повести nginx, если у него будет, например, 10 конфигов, в каждом из них будет по 20к различных server_name? server_name != вируальный хост Если речь о идёт именно о большом количестве блоков server{}, то на таких количествах следует учитывать, что каждый блок server{} потребляет небольшое количество памяти под свои конфиги (когда я последний раз смотрел, получалось что-то около 20 килобайт на server{}, но эта цифра сильно зависит от сложности конфига сервера и модулей, с которыми собран nginx). Т.е. 200 тысяч блоков server{} - это где-то 4 гигабайта памяти. Если же речь именно о server_name'ах в рамках небольшого количества блоков server{} - то 200 тысяч это не много. Ну в любом случае потребуется тюнинг server_names_hash_bucket_size и server_names_hash_max_size, документация тут: http://nginx.org/r/server_names_hash_bucket_size/ru http://nginx.org/r/server_names_hash_max_size/ru -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Адрес отправителя при проксировании
Есть ли возможность установить Адрес отправителя. Если NGINX используется в качестве прокси сервера? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246811,246811#msg-246811 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Адрес отправителя при проксировании
Здравствуйте, misha_shar53. Вы писали 25 января 2014 г., 11:13:29: Есть ли возможность установить Адрес отправителя. Если NGINX используется в качестве прокси сервера? http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind -- С уважением, Pavel mailto:pavel2...@ngs.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru