Re: [OFFTOP-subthread] Вопрос по TLS и аутентификации

Вадим, в основном Вы правы. Но обвинять в этом только госорганы не правильно. Тут еще надо присмотреться к разработчикам, которые не всегда готовы предлагать. Кроме того, что касается линуксов, то тут есть проблема - отсутствие единого стандарта единых наборов классов для разработки приложений под

Re: [OFFTOP-subthread] Вопрос по TLS и аутентификации

Вадим, так ведь бюджетная бухгалтерия катастрофически сильно отличается от хозрасчетной. А учитывая интенсивно происходящие изменения в законодательстве облачные решения просто не успевают подстраиваться под эти изменения... к сожалению. Posted at Nginx Forum:

Re: [OFFTOP-subthread] Вопрос по TLS и аутентификации

> Насколько я знаю как раз таки школы Школы, как раз, наиболее успешно саботировали. К тому же, особенной "пушкой" было то, что поручили внедрение компании, очень тесно афиллированной с Microsoft Rus. > суды (по крайней мере приставы) В том-то и дело, что только приставы. И запилили свой

Re: Вопрос по TLS и аутентификации

Vadim A. Misbakh-Soloviov, да и вот что я еще бы хотел сказать. Спасибо еще и российским разработчикам ГИСов, из-за которых приходится браузеры откатывать. Ибо как ребятки зацепились за NPAPI так и держаться... ничего делать с этим не желают. А браузеры говорят - пора забыть... а експлорер так не

Re: Вопрос по TLS и аутентификации

Кстати, что касается "Так вот он, оказывается, один из тех самых "исполнителей", из-за которых саботировали внедрение нормальных ОС в судах, школах и прочих госорганах :)". Насколько я знаю как раз таки школы, суды (по крайней мере приставы) перешли на линухи. Приставы - ГосЛинукс. А что касается

Re: Вопрос по TLS и аутентификации

Ага. Сказанно было сделать - сделал. Не заморачивался. АктивХ ... тем более мне не заплатили. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,273305,273369#msg-273369 ___ nginx-ru mailing list nginx-ru@nginx.org

Re: [PATCH] HTTP/2: add debug logging of pseudo-headers and control frames

Hey, > # HG changeset patch > # User Piotr Sikora > # Date 1490516711 25200 > # Sun Mar 26 01:25:11 2017 -0700 > # Node ID 6990fb6463ce47705e06ff6d0fbd9ae6696aeb37 > # Parent 22be63bf21edaa1b8ea916c7d8cd4e5fe4892061 > HTTP/2: add debug logging of pseudo-headers and

[PATCH] HTTP/2: add debug logging of pseudo-headers

# HG changeset patch # User Piotr Sikora # Date 1490516711 25200 # Sun Mar 26 01:25:11 2017 -0700 # Node ID 3d72ae17c41990774721a678c50b8307ecb684c8 # Parent 22be63bf21edaa1b8ea916c7d8cd4e5fe4892061 HTTP/2: add debug logging of pseudo-headers. Signed-off-by: Piotr

[PATCH] HTTP/2: add debug logging of control frames

# HG changeset patch # User Piotr Sikora # Date 1490516711 25200 # Sun Mar 26 01:25:11 2017 -0700 # Node ID 06d6418afe6e73604aea707ef9c5802f5bf27bf4 # Parent 22be63bf21edaa1b8ea916c7d8cd4e5fe4892061 HTTP/2: add debug logging of control frames. Signed-off-by: Piotr

Re: Вопрос по TLS и аутентификации

> до этого я им разработал форму генерации ключей ЭП (ActiveX) :'( Так вот он, оказывается, один из тех самых "исполнителей", из-за которых саботировали внедрение нормальных ОС в судах, школах и прочих госорганах :) P.S.: да, я понимаю, что делали что заказывали. Просто до этого письма

Re: Вопрос по TLS и аутентификации

Проблема решилась установкой версии OpenSSL версии 1.0.2 и выше. И добавления опции ssl_verify_depth 4; (с более старой версией OpenSSL не работало). Кроме того, в ssl_client_certificate необходимо указать сертификат ГОЛОВНОГО УЦ МКС (самоподписанного). Спасибо всем. Проблема с несколькими УЦ

Re: How to encrypt proxy cache

Hi, The information is not publicly available, it is protected by authentication, we have an auth plugin which makes sure auth happens before the request is routed to this cache. Posted at Nginx Forum: https://forum.nginx.org/read.php?2,273311,273363#msg-273363

Binary upgrade with systemd

Hello, I’m using nginx 1.10.3 custom built on Ubuntu 16.04. I’m also using the recommended systemd service file: [Unit] Description=The NGINX HTTP and reverse proxy server After=syslog.target network.target remote-fs.target nss-lookup.target [Service] Type=forking PIDFile=/run/nginx.pid

Re: Вопрос по TLS и аутентификации

Здравствуйте, Илья! Спасибо за ответ. С удовольствием подскажу. Решение предполагается не для защиты информационных систем электронного правительства, а для работы с системой электронного документооборота, которая не ГИС и не ИСПДН, однако владельцем не определена как общесдоступная. Для защит

Re: Вопрос по TLS и аутентификации

Максим, здравствуйте! Спасибо за ответ. ssl_verify_depth задавал. Но, к сожалению, это не возымело эффекта. Сегодня буду исследовать вопрос в сторону обновления OpenSSL до версии выше 1.0.2. Что касается Вашего замечания относительно "В указанный в директиве файл можно положить произвольное

Re: Nginx cookie map regex remove + character

On Mon, Apr 03, 2017 at 10:12:04AM +0200, B.R. via nginx wrote: > On Sat, Apr 1, 2017 at 1:57 PM, Francis Daly wrote: > > > If you want to match "word character or plus", use something like [\w+]. > > > > ​Defining a pattern over a simple assertion is kinda strange​. '[' &

Re: fastcgi_pass and http upstream

On Wed, Mar 22, 2017 at 08:47:00PM +0100, Vucomir Ianculov via nginx wrote: Hi there, > i have a situation where i have 2 Apache backed server and 2 php-fpm backed > server. i would like to setup up a upstream to include all 4 back-ends or > somehow to balance the requestion on all 4 back-ends

Re: fastcgi_pass and http upstream

cab someone please help me with an example? - Original Message - From: "Vucomir Ianculov via nginx" To: "Yuriy Medvedev" Cc: "Vucomir Ianculov" , nginx@nginx.org Sent: Thursday, March 30, 2017 6:28:16 PM Subject: Re:

Re: Nginx upstream server certificate verification

Thank Sergey, for you response. I have one more question. If I have multiple upstream server host names in the upstream server block, then how can I specify the specific upstream server host name to which the request is being proxied, in the proxy_ssl_name directive? Posted at Nginx Forum:

Re: [PATCH 1 of 2] HTTP: add support for "429 Too Many Requests" response (RFC6585)

Hello! On Fri, Mar 24, 2017 at 03:47:40AM -0700, Piotr Sikora via nginx-devel wrote: > # HG changeset patch > # User Piotr Sikora > # Date 1490348883 25200 > # Fri Mar 24 02:48:03 2017 -0700 > # Node ID 799ef976b58cadbc212bd790a666033d3777c10d > # Parent

[nginx] Upstream: allow recovery from "429 Too Many Requests" response.

details: http://hg.nginx.org/nginx/rev/fa56ab75cffc branches: changeset: 6966:fa56ab75cffc user: Piotr Sikora date: Fri Mar 24 02:48:03 2017 -0700 description: Upstream: allow recovery from "429 Too Many Requests" response. This change adds "http_429"

[nginx] Added support for "429 Too Many Requests" response (RFC6585).

details: http://hg.nginx.org/nginx/rev/3ef4cadfad7f branches: changeset: 6965:3ef4cadfad7f user: Piotr Sikora date: Fri Mar 24 02:48:03 2017 -0700 description: Added support for "429 Too Many Requests" response (RFC6585). This change adds reason phrase in

Re: [PATCH][bugfix] Upstream: clear the delayed flag to prevent blocking from sending.

Hello! On Mon, Apr 03, 2017 at 04:02:07PM +0800, 胡聪 (hucc) wrote: [...] > At the same time, I noticed that the type of rc is int not ngx_int_t in > ngx_http_writer(). The type should be ngx_int_t, right? There was a time the > return type of ngx_http_writer() is int. Later, it became void.

[nginx] Fixed type.

details: http://hg.nginx.org/nginx/rev/5d3d9b52327d branches: changeset: 6964:5d3d9b52327d user: hucongcong date: Mon Apr 03 14:29:40 2017 +0800 description: Fixed type. diffstat: src/http/ngx_http_request.c | 4 ++-- 1 files changed, 2 insertions(+), 2

Re: How to encrypt proxy cache

-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 Hello! On 04/03/2017 08:21 PM, sachin.she...@gmail.com wrote: > Hi, > > We are testing using nginx as a file cache in front of our app, > but the contents of the proxy cache directory are readable to any > body who has access to the machine.

Re: How to encrypt proxy cache

On 03/04/2017 16:50, sachin.she...@gmail.com wrote: Thanks Maxim for the reply. We have evaluated disk based encryption etc, but that does not prevent sysadmins from viewing user data which is a problem for us. Do you think we could build something using lua and intercept read and wriite call

Re: Configuring a subnet in an upstream server

I used a poor example. The functionality I was interested in was adding a range of application servers, all part of the same domain. D On Mon, Apr 3, 2017 at 11:04 AM, B.R. via nginx wrote: > What would be the meaning of that? > > How do you route traffic to 192.168.0.0? Do

Re: How to encrypt proxy cache

Am 2017-04-03 17:50, schrieb sachin.she...@gmail.com: Thanks Maxim for the reply. We have evaluated disk based encryption etc, but that does not prevent sysadmins from viewing user data which is a problem for us. Then you should put your servers someplace where you trust your the sysadmins.

Re: How to encrypt proxy cache

Thanks Maxim for the reply. We have evaluated disk based encryption etc, but that does not prevent sysadmins from viewing user data which is a problem for us. Do you think we could build something using lua and intercept read and wriite call from cache? Posted at Nginx Forum:

Re: How to encrypt proxy cache

Hello! On Mon, Apr 03, 2017 at 09:21:10AM -0400, sachin.she...@gmail.com wrote: > We are testing using nginx as a file cache in front of our app, but the > contents of the proxy cache directory are readable to any body who has > access to the machine. Is there a way to encrypt the files stored

Re: How to encrypt proxy cache

Am 2017-04-03 15:21, schrieb sachin.she...@gmail.com: Hi, We are testing using nginx as a file cache in front of our app, but the contents of the proxy cache directory are readable to any body who has access to the machine. Is there a way to encrypt the files stored in the proxy cache

How to encrypt proxy cache

Hi, We are testing using nginx as a file cache in front of our app, but the contents of the proxy cache directory are readable to any body who has access to the machine. Is there a way to encrypt the files stored in the proxy cache folder so that it' not exposed to the naked eye but nginx

Re: health ckeck может сдать сообщения на почту?

Почему когда пишешь health_check в локейшене где указано ещё куча всего помимо proxy_pass http://backend, проверка не проходит? Как решить эту проблему? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,273309,273310#msg-273310 ___ nginx-ru

Re: health ckeck может сдать сообщения на почту?

Добрый день. On 03/04/2017 15:29, Kacblm wrote: > Добрый день. > > Подскажите пожалуйста, когда helth_check помечает сервер неисправным, можно > как то получать об этом оповещения? > > в примере: > > location /check { >proxy_pass http://backend; >health_check; > } > Если у

health ckeck может сдать сообщения на почту?

Добрый день. Подскажите пожалуйста, когда helth_check помечает сервер неисправным, можно как то получать об этом оповещения? в примере: location /check { proxy_pass http://backend; health_check; } Posted at Nginx Forum:

Re: Вопрос по TLS и аутентификации

Hello! On Sun, Apr 02, 2017 at 11:25:47PM -0400, DemDA wrote: > Здравствуйте, уважаемые профи! > Возник вопрос (точнее наверное два ). > Подняли NGinx для доступа к одному из защищаемых ресурсов. Сделал > двустороннюю аутентификацию. Прикрутил ГОСТ. Все взлетело. НО... появилась > проблема.

[njs] Variables may be accessed incorrectly by nested functions.

details: http://hg.nginx.org/njs/rev/c46da90ca064 branches: changeset: 329:c46da90ca064 user: Igor Sysoev date: Sun Apr 02 12:36:05 2017 +0300 description: Variables may be accessed incorrectly by nested functions. diffstat: njs/njs_parser.c | 5 +

[njs] Large indexes processing has been fixed in

details: http://hg.nginx.org/njs/rev/8f59eeb8ee2d branches: changeset: 327:8f59eeb8ee2d user: Igor Sysoev date: Sat Apr 01 15:32:04 2017 +0300 description: Large indexes processing has been fixed in Array.prototype.reduceRight(). diffstat: njs/njs_array.c | 2 +-

[njs] Array iterators optimizations.

details: http://hg.nginx.org/njs/rev/cee288760080 branches: changeset: 328:cee288760080 user: Igor Sysoev date: Sun Apr 02 12:35:11 2017 +0300 description: Array iterators optimizations. diffstat: njs/njs_array.c | 221

[nginx] Slice filter: allowed at most one subrequest at a time.

details: http://hg.nginx.org/nginx/rev/a97ad1663ef4 branches: changeset: 6962:a97ad1663ef4 user: Roman Arutyunyan date: Tue Mar 28 14:03:57 2017 +0300 description: Slice filter: allowed at most one subrequest at a time. Previously, if slice main request write

Re: slice module got error when contents of upstream was updated

Hi, On Mon, Apr 03, 2017 at 01:09:14AM -0400, t.nishiyori wrote: > Helle, > > I'm using nginx with slice module as a proxy. > > One day, I got an error log such like a "etag mismatch in slice response > while reading response header from upstream". > > The cause of this error was occurred

Re: [PATCH 3 of 3] Upstream: add support for trailers in HTTP responses

Hey, > +static ngx_int_t > +ngx_http_upstream_copy_trailer(ngx_http_request_t *r, > +ngx_table_elt_t *h, ngx_uint_t offset) > +{ > +ngx_table_elt_t *ho; > + > +if (!r->upstream->conf->pass_trailers > +|| !r->allow_trailers || !r->expect_trailers) > +{ > +return

[PATCH 2 of 3] Headers filter: add "add_trailer" directive

# HG changeset patch # User Piotr Sikora # Date 1490351854 25200 # Fri Mar 24 03:37:34 2017 -0700 # Node ID 5bab17ebe2b1f8ec42cf069bf484489c2a92c7a8 # Parent 8af81a0d66c0f69bcf501edcf10deed4c8f7fbd4 Headers filter: add "add_trailer" directive. Trailers added using

[PATCH 3 of 3] Upstream: add support for trailers in HTTP responses

# HG changeset patch # User Piotr Sikora # Date 1490351854 25200 # Fri Mar 24 03:37:34 2017 -0700 # Node ID 488c59bd49dcb1503144fe4d712165b69d1a5945 # Parent 5bab17ebe2b1f8ec42cf069bf484489c2a92c7a8 Upstream: add support for trailers in HTTP responses. Please note

[PATCH 1 of 3] HTTP: add support for trailers in HTTP responses

# HG changeset patch # User Piotr Sikora # Date 1490351854 25200 # Fri Mar 24 03:37:34 2017 -0700 # Node ID 8af81a0d66c0f69bcf501edcf10deed4c8f7fbd4 # Parent 39ff6939266e913e8bfd400e60f9520e70725a4d HTTP: add support for trailers in HTTP responses. Example:

Re: Nginx cookie map regex remove + character

On Sat, Apr 1, 2017 at 1:57 PM, Francis Daly wrote: > If you want to match "word character or plus", use something like [\w+]. > ​Defining a pattern over a simple assertion is kinda strange​. '[' & ']' are useless here, since you are not matching several symbols. Use (?\w+)

Re: Configuring a subnet in an upstream server

What would be the meaning of that? How do you route traffic to 192.168.0.0? Do you really want to send requests to 192.168.255.255? How would you handle requests sent to some servers (but not all) if some are not responsive? I suspect what you want to use is dynamic IP addresses for your