The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз прокси-сервера Squid 3.1.11

10.02.2011 16:49

Вышел релиз прокси-сервера squid-3.1.11 в котором представлено 26 исправлений. Из улучшений можно отметить:

  • Реализация директивы "stale-if-error" в рамках реализации поддержки расширений для управления кэшем RFC 5861 (Cache-Control). Директива позволяет установить максимальный лимит, как долго устаревший прокэшированный объект может быть использован, прежде чем клиенту начнет возвращаться код 5xx;
  • При использовании директивы deny_info для редиректа не-GET/HEAD запросов клиенту теперь выводится статус HTTP/1.1 307;
  • Улучшен код обработки сбоев eCAP-транзакций;
  • Добавлена директива ftp_eprt для отключения EPRT-расширений в FTP;
  • Для браузеров с User-Agent Mozilla/3.0 теперь допускается создание постоянных соединений (persistent).


  1. Главная ссылка к новости (http://www.squid-cache.org/Ver...)
Автор новости: _stx_
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29557-squid
Ключевые слова: squid, proxy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 18:36, 10/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Удалили пару срок кода и User-Agent Mozilla/3.0 теперь допускается создание постоянных соединений (persistent) :).
     
  • 1.2, Аноним (-), 21:05, 10/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Вот интересно, накой нужен такой прокси. Он уже достаточно древний, а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки. Ладно бы там новых фич с каждым выпуском десяток добавляли, а так...
    Не знаю, как там с кэшированием в 3proxy, но если там это уже есть, то, на мой взгляд, он - лучший выбор.
     
     
  • 2.3, Stax (ok), 22:16, 10/02/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А что это за 3proxy вообще? Лучший выбор для кого?
    Он же не умеет и десятой доли того, что умеет сквид 3. Например, об IPv6 автор, похоже, не слышал..

    И, интереса ради, какие такие "критические ошибки" были исправлены в этом релизе?

     
     
  • 3.13, Аноним (-), 09:41, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Да подождите вы ipv6, читали отзывы специалистов по поводу сколько времени потребуется что бы на него перейти? Не один пяток годков... Да и зачем он нужен за прокси-сервером.
    Сквид был актуален в прошлом веке, когда инет стоил дорого, а сейчас есть альтернативы, которые в плане безопасности не напрягают. Скажите я параноик? Да, так и есть :-)
     
     
  • 4.16, pazke (?), 10:19, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Выдержки из FAQ'a этого "не напрягающего в плане безопасности" поделия доставляют неимоверно:

    Q: Почему так криво написан код?

    A: Есть несколько причин. Во-первых, я не программист. Во-вторых, 3proxy изначально
    писался на коленке (в отет на "слабо") в одной из конференций). Никто
    не мог предположить, что им кто-то реально будет пользоваться. В-третьих, у многих
    возникает желание разобраться в коде 3proxy чтобы внедрить его в какой-нибудь
    троян. Очень не хочется облегчать эту задачу. В-четвертых, мне надо добиться
    компиляции кода в как можно большем числе систем. Замечено, что чем кривее код в
    C, тем он лучше переносится.

    Q: Почему так много strcpy, sprintf и т.д., это ж дыры!

    Есть несколько причин. Во-первых, несмотря на дурной тон использования этих
    функций, они наиболее совместимы между разными системами и компиляторами.
    Во-вторых, само по себе их использование не означает присутствие дыры, если их
    параметры должным образом контролируются. Найдете дыру - обязательно сообщите.
    В третьих, может быть я уберу их перед конечным релизом, чтобы никого не пугать.

     
  • 2.4, Mif (?), 00:03, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Назовите хоть одну достойную замену крабу?
     
     
  • 3.5, VX (??), 00:31, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ...кальмару
     
  • 3.12, zazik (ok), 09:34, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Назовите хоть одну достойную замену крабу?

    Гриб или шмель, нет?

     
  • 2.6, PereresusNeVlezaetBuggy (ok), 00:59, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Он уже достаточно древний,

    Неужели древнее, чем cat(1)?

    > а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки.

    Не такие уж и критические, если почитать Release Notes. А серьёзного софта без багов не бывает. Впрочем... предложите вариант получше, вас внимательно слушают.

     
     
  • 3.14, Аноним (-), 09:45, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Он уже достаточно древний,
    > Неужели древнее, чем cat(1)?
    >> а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки.
    > Не такие уж и критические, если почитать Release Notes. А серьёзного софта
    > без багов не бывает. Впрочем... предложите вариант получше, вас внимательно слушают.

    Да вы почитайте http://www.squid-cache.org/Advisories/
    Без ошибок не бывает, это да. Но не сколько же и не такие серьезные. Этот софт для продакшена, а не для домохозяек мультики детям проигрывать.

     
     
  • 4.17, PereresusNeVlezaetBuggy (ok), 10:29, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Он уже достаточно древний,
    >> Неужели древнее, чем cat(1)?
    >>> а в нем постоянно тоннами находят всякие баги и фиксят критические ошибки.
    >> Не такие уж и критические, если почитать Release Notes. А серьёзного софта
    >> без багов не бывает. Впрочем... предложите вариант получше, вас внимательно слушают.
    > Да вы почитайте http://www.squid-cache.org/Advisories/

    Почитал. Большинство, в том числе все последние, — лишь DoS. А отнюдь не компрометация.

    > Без ошибок не бывает, это да. Но не сколько же и не
    > такие серьезные. Этот софт для продакшена,

    Какие умные слова :))))

    > а не для домохозяек мультики детям проигрывать.

     
  • 3.15, cmp (ok), 09:46, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ...а с каких пор сквид - это серьезный софт? Приложеньеце уровня средненького офиса, на вскидку можно провести аналогию с vsftpd, с оговоркой о количестве методов/команд и их параметров коих в http  значительно больше, а по сути тот же контроль доступа с виртуальными  пользователями и тд.

    Существующего варианта лучше не знаю, но интегрировать в проксю правила ad-block (или как оно там зовется) с синхронизацией с общественным сервером, с возможностью правки дом-документа, и тому подобных пирожков было бы не плохо.

     
     
  • 4.18, PereresusNeVlezaetBuggy (ok), 10:33, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ...а с каких пор сквид - это серьезный софт? Приложеньеце уровня средненького
    > офиса, на вскидку можно провести аналогию с vsftpd, с оговоркой о
    > количестве методов/команд и их параметров коих в http  значительно больше,
    > а по сути тот же контроль доступа с виртуальными  пользователями
    > и тд.

    Эм. vsftpd умеет NTLM, например? Сравнение некорректно изначально, слишком разные на самом деле эти протоколы:

    * В HTTP одно соединение, в FTP — на каждую передачу файла отдельное.
    * vsftpd не запрашивает данные из непроверенных источников, окромя собсно клиента, squid — запрашивает.
    * и т.д.

    > Существующего варианта лучше не знаю, но интегрировать в проксю правила ad-block (или
    > как оно там зовется) с синхронизацией с общественным сервером, с возможностью
    > правки дом-документа, и тому подобных пирожков было бы не плохо.

    Правку DOM-документа на проксе в реальном времени o_O?! Помимо того, какая это нагрузка, вы не забыли про существование *Script, который всё на большем количестве сайтов, как это ни печально, _требуется_ для работы? ;)

     
     
  • 5.21, cmp (ok), 11:45, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  NTLM

    HTTP умеет работать с PAM?

    > * В HTTP одно соединение, в FTP — на каждую передачу файла отдельное.
    > * vsftpd не запрашивает данные из непроверенных источников, окромя собсно клиента, squid

    Это частности. Принцип один.

    > Правку DOM-документа на проксе в реальном времени o_O?! Помимо того, какая это
    > нагрузка, вы не забыли про существование *Script, который всё на большем
    > количестве сайтов, как это ни печально, _требуется_ для работы? ;)

    Почему это должно быть печально? Нагрузка, и что; важна возможность, или даже не возможность, что свидетельствует в пользу не законченности, или простоты, а не серьезности;
    Сам сквидом пользуюсь, они топчутся на месте.

     
     
  • 6.22, Аноним (-), 12:14, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > HTTP умеет работать с PAM?

    А FTP умеет работать с PAM? Что за вопрос вообще?

    Если вопрос про сквид, то разумеется умеет - http://linux.die.net/man/8/pam_auth

     

  • 1.7, Аноним (-), 01:38, 11/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А зачем вообще нужны HTTP-прокси в 2011 году?
     
     
  • 2.8, Аноним (-), 02:58, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    удобно же в офисе с помощью него контроллировать доступ к интернету
     
  • 2.9, sHaggY_caT (ok), 03:15, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >А зачем вообще нужны HTTP-прокси в 2011 году?

    Для фильтрации контента на L7-уровне

     
  • 2.10, pahan (??), 04:31, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А зачем вообще нужны HTTP-прокси в 2011 году?

      А зачем нужны маршрутизаторы? У меня дома стоит ви-фи роутер, мне хватает.
      А зачем нужны сервера? У меня и без них все работает.

      Так получается?

      Зачем нужны прокси - идем сюда, и внимательно читаем:

    http://www.google.ru/#hl=ru&newwindow=1&biw=1280&bih=845&q=%D0%B7&#


     
  • 2.19, sabitov (ok), 11:08, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Затем! :)

    Например, у меня принудительное проксирование всей сетки, и я точно знаю кто куда ходил и чего хотел. Оченно удобно :) Опять таки например, целый ряд электронных библиотек (нет-нет я не про эквадорцев и иже с ними) и издательств следят, чтобы никто зеркало не собирал: надо тебе статьи по воздействию платиновых катализаторов на Borrelia burgdorferi sensu lato -- ради Бога, а вот качать весь номер ххх низя, ибо бан :) И без сквида понять какой нехороший ... блокировал доступ всего Института крайне сложно.

     

  • 1.11, stimpack (?), 06:16, 11/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    мощный контроль за посещением http-сайтов
     
  • 1.20, Аноним (-), 11:18, 11/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    скоро он никому не нужен будет...
     
     
  • 2.24, Andrey Mitrofanov (?), 16:17, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    2012-ый год близко??
     

  • 1.23, svesh (ok), 12:49, 11/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ИМХО, для фильтрования траффика в школах(тут из-за тупости тех самых чиновников нет обхода) лучше, чем предлагаемый ими DNS-фильтр. Хоть у нас канал и не маленький, но уровень использования кеша 30% вдохновляет. Бонусом получаем статистику посещений и расхода траффика. А в сумме с kerberos авторизацией - по конкретным пользователям.
     
     
  • 2.26, Аноним (-), 19:04, 11/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да и то, DNS-фильтр любая восьмиклассница обойдёт, а с фашистским прокси уже надо проявлять смекалку. Таким образом мы развиваем у школьников изобретательность и побуждаем их овладевать новыми технологиями. Уважаю наших чиновников!
     
  • 2.27, AdVv (ok), 00:08, 13/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ИМХО, для фильтрования траффика в школах(тут из-за тупости тех самых чиновников нет
    > обхода) лучше, чем предлагаемый ими DNS-фильтр. Хоть у нас канал и
    > не маленький, но уровень использования кеша 30% вдохновляет. Бонусом получаем статистику
    > посещений и расхода траффика. А в сумме с kerberos авторизацией -
    > по конкретным пользователям.

    Вопрос - а разве аутентификация работает с прозрачным прокси ?

     

  • 1.29, Аноним (-), 16:36, 14/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если в твоей сети нужен прокси-срвер, то юзай прокси-сервер, если не нужен, то не юзай. нехер брехать своим тролльным ртом на кошерный сквид, собака.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру