Re: Авторизация

[Pavel V.]

Здравствуйте, Daniel.

Вы писали 24 января 2014 г., 1:41:19:

 2014/1/23 Pavel V. pavel2...@ngs.ru:
 Кто-нибудь может кинуть ссылку на более наглядные объяснения с более 
 человекопонятной схемой,
 как это ломается? Либо может быть кто-то разъяснит на пальцах, как 
 злоумышленник, имея одну или
 несколько пар userId + keyedhash сможет сгенерировать пару admin_userId + 
 valid_keyedhash?
 Полным перебором это ломается. Просто процессоры стали сильно быстрые
 и многоядерные. SHA1 считается слишком быстро.

Почему тогда нет проблемы если использовать HMAC-SHA1 ?

Из-за того, что считается sha1 от вычисленного в sha1,
что  дает сброс внутреннего состояния хеширующей функции?


-- 
С уважением,
 Pavel  mailto:pavel2...@ngs.ru

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Не отображаются картинки после ресайзинга

[Pavel V.]

Здравствуйте, Miklucho.

Вы писали 24 января 2014 г., 14:12:49:



 Мне кажется, что проблема в том, что php сравнительно медленно ресайзит
 изображения и из-за этого срабатывают какие-то таймауты, либо в apache, либо
 в nginx.
 Не подскажет ли кто куда мне копать?

1) Смотрите в логи
2) Смотрите в ответы сервера например в firebug (в Firefox).



-- 
С уважением,
 Pavel  mailto:pavel2...@ngs.ru

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

журнал исходящих и входящих соединений

[misha_shar53]

Есть ли в NGINX журнал входящих и исходящих соединений. Если есть то как его
подключить и где посмотреть?
access_log  /home/misha/Devel/wrk/nginx/access.log;
access_log on;
Это ничего не дало.

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,246775,246775#msg-246775

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Nginx и десятки тысяч виртуальных хостов

[paulstrong]

Добрый день, коллеги!
У нас возник вопрос, связанный с использованием десятков тысяч виртуальных
хостов (мы рассматриваем это как одно из решений нашей задачи).
Скажем, как себя теоретически может повести nginx, если у него будет,
например, 10 конфигов, в каждом из них будет по 20к различных server_name?

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,246776,246776#msg-246776

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re[2]: Авторизация

[Михаил Монашёв]

Здравствуйте, Pavel.

 Кто-нибудь  может  кинуть  ссылку  на более наглядные объяснения с
 более  человекопонятной  схемой, как это ломается? Либо может быть
 кто-то  разъяснит  на  пальцах, как злоумышленник, имея одну или
 несколько  пар  userId  +  keyedhash  сможет  сгенерировать пару
 admin_userId + valid_keyedhash?
 Полным перебором это ломается. Просто процессоры стали сильно быстрые
 и многоядерные. SHA1 считается слишком быстро.

 Почему тогда нет проблемы если использовать HMAC-SHA1 ?

 Из-за того, что считается sha1 от вычисленного в sha1,
 что  дает сброс внутреннего состояния хеширующей функции?

Нет.  Вместо конкатенации данных и секретного ключа HMAC размазывает и
перемешивает биты ключа по всему хэшу.

Двойной  sha1  видимо  так  же  ломается. Иначе применяли бы его, а не
изобретали HMAC.

-- 
С уважением,
 Михаил  mailto:postmas...@softsearch.ru

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Nginx и десятки тысяч виртуальных хостов

[paulstrong]

paulstrong Wrote:
---
 Добрый день, коллеги!
 У нас возник вопрос, связанный с использованием десятков тысяч
 виртуальных хостов (мы рассматриваем это как одно из решений нашей
 задачи).
 Скажем, как себя теоретически может повести nginx, если у него будет,
 например, 10 конфигов, в каждом из них будет по 20к различных
 server_name?

нагрузки, естественно, не маленькие, до бекендов около 100RPS, если брать во
внимание статику, то возможны и все 1000RPS.

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,246776,246778#msg-246778

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: журнал исходящих и входящих соединений

[Igor Sysoev]

On Jan 24, 2014, at 12:20 , misha_shar53 wrote:

 Есть ли в NGINX журнал входящих и исходящих соединений. Если есть то как его
 подключить и где посмотреть?
access_log  /home/misha/Devel/wrk/nginx/access.log;
access_log on;

access_log on создал дополнительный лог-файл on:
http://nginx.org/ru/docs/http/ngx_http_log_module.html#access_log

 Это ничего не дало.

В access.log должны быть запросы клиентов, можно туда добавать
переменных, связанных с исходящими соединениями:
http://nginx.org/ru/docs/http/ngx_http_upstream_module.html#variables

Настаривается это с помощью log_format:
http://nginx.org/ru/docs/http/ngx_http_log_module.html#log_format


-- 
Igor Sysoev
http://nginx.com
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Боевая конфигурация

[Dimka]

Спасибо! Понял!

Это и хотел услышать.

По ходу дела буду мониторить и при необходимости - править узкие места!

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,246702,246781#msg-246781

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Авторизация

[Maxim Dounin]

Hello!

On Fri, Jan 24, 2014 at 05:19:23PM +0700, Pavel V. wrote:

 Здравствуйте, Михаил.
 
  Полным перебором это ломается. Просто процессоры стали сильно быстрые
  и многоядерные. SHA1 считается слишком быстро.
 
  Почему тогда нет проблемы если использовать HMAC-SHA1 ?
 
  Из-за того, что считается sha1 от вычисленного в sha1,
  что  дает сброс внутреннего состояния хеширующей функции?
 
  Нет.  Вместо конкатенации данных и секретного ключа HMAC размазывает и
  перемешивает биты ключа по всему хэшу.
 
  Двойной  sha1  видимо  так  же  ломается. Иначе применяли бы его, а не
  изобретали HMAC.
 
 Я смотрел, как работает HMAC, и конечно же не имел ввиду чистую 
 sha1(sha1(key||message)).
 
 Фактически HMAC-SHA1 это sha1(key_pad1 || sha1 (key_pad2 || message)) что не 
 сильно далеко ушло
 от sha1(sha1(key||message)). В вычислениях HMAC key_pad1 и key_pad2 это 
 сугубо статические значения,
 зависящие от ключа.
 
 Не совсем понятно, как происходит это размазывание и почему нельзя выбрать 
 два _произвольных_
 key_pad1 и key_pad2. Фактически блочный XOR ключа (приведенного до нужной 
 длинны) на значения
 $36 и $5C дает произвольные значения, разве нет?
 
 В общем, тема интересная, читать можно много, были бы где наглядные 
 объяснения )
 А может оно и лучше, что наглядных объяснений не так много, а то переломали 
 бы половину интернета.

Наиболее наглядное объяснение про собственные MAC'и - это length 
extension attack на конструкции вида hash(secret || message) (aka 
secret prefix).

http://en.wikipedia.org/wiki/Length_extension_attack

Проблема, IMHO, не в том, что sha1(sha1(key||message)) - ломается 
(AFAIK, иначе как грубой силой - не ломается), проблема - в том, 
что когда люди изобретают на коленке - они зачастую ходят по давно 
известным и элементарным граблям.

-- 
Maxim Dounin
http://nginx.org/

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: проксирование на Unix сокет

[Maxim Dounin]

Hello!

On Thu, Jan 23, 2014 at 11:21:35PM -0500, misha_shar53 wrote:

 Попытка перенаправить запрос на Unix сокет не удалась. Почему ? Хотя на SCGI
 естественно прошла.
   location  /exo {
 proxy_pass unix:/home/misha/nginx/scgi.socket;
 #   scgi_pass unix:/home/misha/nginx/scgi.socket;
 #   include scgi_params;
}

Правильно так:

proxy_pass http://unix:/home/misha/nginx/backend.socket;

Должен быть указан протокол, http://;.  Ну и backend.socket - 
должен слушаться приложением, ожидающим HTTP (а не scgi, как можно 
предположить из процитированного выше конфига с scgi.socket). 

Подробности тут:

http://nginx.org/r/proxy_pass/ru

-- 
Maxim Dounin
http://nginx.org/

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re[2]: Авторизация

[Михаил Монашёв]

Здравствуйте, Maxim.

 Наиболее наглядное объяснение про собственные MAC'и - это length
 extension attack на конструкции вида hash(secret || message) (aka 
 secret prefix).

 http://en.wikipedia.org/wiki/Length_extension_attack

Там написано: The SHA-3 algorithm is not susceptible to this attack.

Но как всегда, наверное, есть какие-то другие подводные камни...


-- 
С уважением,
 Михаил  mailto:postmas...@softsearch.ru

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: проксирование на Unix сокет

[misha_shar53]

Спасибо понял.
Документация великая вещь.

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,246768,246789#msg-246789

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Nginx и десятки тысяч виртуальных хостов

[Maxim Dounin]

Hello!

On Fri, Jan 24, 2014 at 03:30:55AM -0500, paulstrong wrote:

 Добрый день, коллеги!
 У нас возник вопрос, связанный с использованием десятков тысяч виртуальных
 хостов (мы рассматриваем это как одно из решений нашей задачи).
 Скажем, как себя теоретически может повести nginx, если у него будет,
 например, 10 конфигов, в каждом из них будет по 20к различных server_name?

server_name != вируальный хост

Если речь о идёт именно о большом количестве блоков server{}, то 
на таких количествах следует учитывать, что каждый блок server{} 
потребляет небольшое количество памяти под свои конфиги (когда я 
последний раз смотрел, получалось что-то около 20 килобайт на 
server{}, но эта цифра сильно зависит от сложности конфига сервера 
и модулей, с которыми собран nginx).  Т.е. 200 тысяч блоков 
server{} - это где-то 4 гигабайта памяти.

Если же речь именно о server_name'ах в рамках небольшого 
количества блоков server{} - то 200 тысяч это не много.

Ну в любом случае потребуется тюнинг server_names_hash_bucket_size 
и server_names_hash_max_size, документация тут:

http://nginx.org/r/server_names_hash_bucket_size/ru
http://nginx.org/r/server_names_hash_max_size/ru

-- 
Maxim Dounin
http://nginx.org/

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Адрес отправителя при проксировании

[misha_shar53]

Есть ли возможность установить Адрес отправителя. Если NGINX используется в
качестве прокси сервера?

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,246811,246811#msg-246811

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Адрес отправителя при проксировании

[Pavel V.]

Здравствуйте, misha_shar53.

Вы писали 25 января 2014 г., 11:13:29:

 Есть ли возможность установить Адрес отправителя. Если NGINX используется в
 качестве прокси сервера?

http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind



-- 
С уважением,
 Pavel  mailto:pavel2...@ngs.ru

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru