主页 / user-158888

Totor's questions

Martin Hope
Totor
Asked: 2022-03-29 06:39:40 +0800 CST
  • 0

server {...}我在 nginx块中有以下配置:

location /someapp { 
  if ( $https != "on" ) { 
    return 301 https://$server_name$request_uri;
  } 

  location ~ \.php$ { 
    include snippets/fastcgi-php.conf;
    fastcgi_pass unix:/var/run/php/php-fpm.sock;
  } 
}

问题是:

  • 当我访问http://example.com/someapp/somefile.html(或只是/someapp)时,我被重定向到 HTTPS,
  • 但是当我访问时http://example.com/someapp/somefile.php,我没有被重定向到 HTTPS。

顺便说一句,这与doc一致,即:

为了找到与给定请求匹配的位置,nginx 首先检查使用前缀字符串(前缀位置)定义的位置。其中,匹配前缀最长的位置被选中并记忆。然后按照它们在配置文件中出现的顺序检查正则表达式。正则表达式的搜索在第一次匹配时终止,并使用相应的配置。如果找不到与正则表达式的匹配项,则使用前面记住的前缀位置的配置。

所以 when location ~ \.php$is a match,location /someapp被忽略,即使请求是 for .../someapp/somefile.php

location ~ \.php$ {...}块放在父location /someapp {...}块之外不会改变这种行为。

如何将每个 HTTP 重定向到 HTTPS 请求,/someapp 而不if必将and行复制return到 php 位置块中?

redirect nginx
Martin Hope
Totor
Asked: 2014-09-12 09:35:27 +0800 CST
  • 67

关于与Nginx 使用的 PHP 选项(通常是 PHP-FPM,快速 CGI)相关的安全问题已经 很多 讨论。 cgi.fix_pathinfo

结果,默认的nginx配置文件习惯说:

# NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini

但是,现在,“官方”Nginx wiki声明PATH_INFO 可以在不禁用上述 PHP 选项的情况下正确处理。所以呢?

问题

  • 你能清楚地解释一下是做什么的cgi.fix_pathinfo吗?(官方文档只是说:“有关 PATH_INFO 的更多信息,请参阅 CGI 规范”)
  • PHP 将如何处理这些PATH_INFOSCRIPT_FILENAME变量?
  • Nginx 为什么以及如何危险?(详细例子)
  • 这些程序的最新版本中是否仍然存在该问题?
  • Apache易受攻击吗?

我试图了解每一步的问题。例如,我不明白为什么使用 php-fpm Unix 套接字可以避免这个问题。

nginx
Martin Hope
Totor
Asked: 2014-08-08 04:38:45 +0800 CST
  • 41

经常 读到不建议在 DNS 配置中使用多个 PTR 记录。

然而,原因往往是模糊的,或者不是那么明显,命名:

  • “它可能会导致问题”,
  • “可能会在需要单一答案的程序中触发错误”:那是软件的问题,不是吗?!
  • “可以使 DNS 应答数据包太大”:这不是用EDNS解决的吗?

这些是很好的理由吗?你知道任何其他(好的)理由吗?这一切看起来像是一种“遗留恐惧”……

domain-name-system
Martin Hope
Totor
Asked: 2014-04-18 08:01:24 +0800 CST
  • 4

致电戴尔支持时,您通常必须输入系统的“快速服务代码”才能通过电话获得技术支持。

这是因为服务标签(= 序列号)不仅由数字组成,而且快速服务代码是(DTMF友好的)。

我只将 ST 存储在我的库存中,那么有没有办法将戴尔 ST 转换为快速服务代码?

dell
Martin Hope
Totor
Asked: 2013-04-01 13:16:23 +0800 CST
  • 13

问题:

  • 如果 VM 损坏(被黑),在同一台物理机器上运行的其他 VM 会有什么风险?
  • 运行在同一台物理主机上的虚拟机之间存在什么样的安全问题?
  • 是否有(你能列出)那些(潜在的)弱点和/或问题的清单?

警告:

我知道存在许多虚拟化类型/解决方案,并且可能有不同的弱点。但是,我主要是在寻找有关虚拟化技术的一般安全问题,而不是特定的供应商错误。

请提供真实的事实、(严肃的)研究、遇到的问题或技术解释。请明确点。不要(只)发表你的意见。

  • 例子:

两年前,我听说可能存在与MMU(我认为是访问其他机器的主内存)相关的安全问题,但我不知道截至目前这是否是一个实际威胁,或者只是一个理论研究主题。

编辑:我还发现这种“Flush+Reload”攻击能够通过利用 L3 CPU 缓存在同一台物理机器上检索 GnuPG 密钥,即使 GnuPG 在另一台VM 上运行也是如此。GnuPG 已经打了补丁。

security