Re: Запретить использовать SPDY

2015-01-20 Пенетрантность Gena Makhomed 

On 19.01.2015 14:42, Валентин Бартенев wrote:


Вопрос мой ведь в другом, можно ли обойтись иными способами?


теоретически - да, если научить nginx смотреть на имя сервера
в SNI и на основании этого имени включать или выключать SPDY


nginx научить то можно, а клиентов кто при этом научит не ходить
на этот сервер по spdy?

С точки зрения протокола spdy, его анонс на каком-либо соединении
эквивалентен анонсу на всех виртуальных серверах с тем же портом,
чьи домены резолвятся в тот же ip, имеют тот же порт и для которых
валиден сертификат.  Это позволяет запрашивать эти хосты в том же,
уже открытом spdy-соединении, тем самым экономя хэндшейки - основной
смысл spdy.

Всё несколько сложнее, чем кажется.


Раньше было необходимо для каждого HTTPS сайта покупать отдельный IP.

Сейчас - поддержка SNI появилась уже практически во всех серверах
и клиентах. Кроме того изменились ситуация с поисковыми машинами
и появилась возможность получить бесплатный SSL сертификат:

http://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html

https://letsencrypt.org/

https://www.cloudflare.com/ssl

Поэтому в ближайшее время можно ожидать массовое использование SNI
для HTTPS сайтов, в результате на одном и том же listen сокете IP:PORT
будут десятки а то и сотни разных HTTPS-сайтов с разными сертификатами.

Соответственно - можно будет управлять включением/выключением поддержки
протокола SPDY для каждого из этих сайтов в отдельности.
То есть, теоретически - это сделать возможно.

Другой вопрос - что в этом нет какой-либо большой практической ценности,
- совершенно не понятно зачем может кому-либо понадобиться Запретить
использовать SPDY. Тем более, что существует простой обходной вариант,
- купить/взять в аренду два IP, для spdy on и spdy off соответственно.

И даже если бы были какие-то веские причины, чтобы сделать spdy
параметром сервера, а не параметром listen сокета - это сделать
уже не получится, потому что тогда придется сломать обратную
совместимость. То есть, овчинка выделки наверное не стоит.

--
Best regards,
 Gena

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Выдается 405 при неконвенциональных HTTP методах в try files $uri/

2015-01-20 Пенетрантность ShivaS 
Здравствуйте!
Помогите разобраться пожалуйста.

Имеется:

location / {
try_files $uri $uri/ @somewhere;
}

location ~ \.php$ {
limit_except GET POST { deny all; }
..
}

При заходе на сайт/ (или директорию/) - всё стандартно отработало.
А вот при использовании метода, отличного от GET/HEAD/POST, выдается 405 на
$uri/. 

Т.е., несмотря на то, что у сайта определен индекс файл - index.php, видимо
есть причины, по которым не прокидывается дальше на .php, а обрабатывается
сразу в основном /. 

Почему не прокидываются в .php  разные методы а-ля DELETE и т.д.?
Может запрещенный прием на некий статический контент, порядок обработки
или by design/rfc...?

ИМХО, должно идти на индекс файл в найденной (и существующей) директории, и
уже на него пытаться применить желаемый метод http, что в указанном примере
должно выдать 403. 

Спасибо!

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,256220,256220#msg-256220

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru