On 28.08.2011 15:06, Anton Kuznetsov wrote:

> А есть вообще смысл в цифре больше 1?
> Такое встречается в обычной жизни?

см.
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/browser
- там есть ответ на этот вопрос.

> Или лучше зарезать до одного чтобы,
> как описано ниже, сиками никто не баловался?

если это avi / mp4 и т.п. файлы - наверное лучше ограничить до 1,
чтобы оставить пользователям возможность делать докачку файлов.
по крайней мере, по логам сервера будет видно, если кому-то
это начнет мешать.

> server {
>
> if ($http_range ~ "(\d*\s*-\s*\d*\s*,\s*){5,}") {
> return 416;
> }
>

директиву "max_ranges 1;" с помощью директивы "if", которая
во многих случаях "is evil", можно получить таким способом:

====================================================

if ($http_range ~ ",") { return 416; }
if ($http_request_range ~ ",") { return 416; }

====================================================

но это - только при условии, что nginx на сервере
не был собран --without-http_rewrite_module
- такие варианты сборки тоже встречаются...

п.с. две проверки вместо одной необходимы для того,
чтобы полностью защитить уязвимый апач от этой атаки.

подробнее:

http://habrahabr.ru/blogs/infosecurity/127029/
Убийца Apache у вас на пороге

http://habrahabr.ru/blogs/infosecurity/127199/
Убийца Apache — 2

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru