From: Lucien Gentis Date: Sat, 3 Sep 2016 13:20:57 +0000 (+0000) Subject: XML update. X-Git-Tag: 2.5.0-alpha~1171 X-Git-Url: https://granicus.if.org/sourcecode?a=commitdiff_plain;h=bab1184d24bf3af0cc91b1a8b1911b546f48e22d;p=apache XML update. git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/trunk@1759089 13f79535-47bb-0310-9956-ffa450edef68 --- diff --git a/docs/manual/mod/core.xml.fr b/docs/manual/mod/core.xml.fr index 2cb6ce55eb..9da03d7525 100644 --- a/docs/manual/mod/core.xml.fr +++ b/docs/manual/mod/core.xml.fr @@ -1,7 +1,7 @@ - + @@ -95,18 +95,13 @@ AcceptFilter https data

Sous Windows, les valeurs par défaut sont :

-AcceptFilter http data -AcceptFilter https data +AcceptFilter http connect +AcceptFilter https connect

Le module MPM pour Windows mpm_winnt utilise la directive AcceptFilter comme commutateur de l'API AcceptEx(), et ne supporte - pas la mise en tampon du protocole http. Deux valeurs utilisent - l'API Windows AcceptEx() et vont recycler les sockets réseau entre - les connexions. data attend jusqu'à ce que les données - aient été transmises comme décrit plus haut, et le tampon de données - initiales ainsi que les adresses réseau finales sont tous extraits - grâce à une seule invocation d'AcceptEx(). connect + pas la mise en tampon du protocole http. connect utilise l'API AcceptEx(), extrait aussi les adresses réseau finales, mais à l'instar de none, la valeur connect n'attend pas la transmission des données initiales.

@@ -118,6 +113,23 @@ AcceptFilter https data pilotes vpn, ou les filtres anti-spam, anti-virus ou anti-spyware.

+ + L'AcceptFilter <code>data</code> (Windows) + +

Jusqu'à la version 2.4.23, le filtre d'acceptation data + attendait que des données aient été transmises et que le tampon de données + initial et l'adresse réseau finale aient été déterminés par l'invocation + AcceptEx(). Cette implémentation étant vulnérable à une attaque de type + denial of service, elle a été désactivée.

+ +

La version actuelle de httpd prend par défaut le filtre + connect sous Windows, et reprendra la valeur + data si data est spécifié. Il est fortement + conseillé aux utilisateurs des versions plus anciennes de définir + explicitement le filtre connect pour leurs AcceptFilter + comme indiqué plus haut.

+ + Protocol @@ -1358,10 +1370,8 @@ host HttpProtocolOptions Modifie les contraintes sur les messages des requêtes HTTP HttpProtocolOptions [Strict|Unsafe] [StrictURL|UnsafeURL] - [StrictWhitespace|UnsafeWhitespace] [RegisteredMethods|LenientMethods] - [Allow0.9|Require1.0] - HttpProtocolOptions Strict StrictURL StrictWhitespace -LenientMethods Allow0.9 + [RegisteredMethods|LenientMethods] [Allow0.9|Require1.0] +HttpProtocolOptions Strict StrictURL LenientMethods Allow0.9 server config virtual host Disponible à partir des versions 2.2.32 et 2.4.24 du serveur HTTP @@ -1391,9 +1401,12 @@ Apache Request Splitting et §9.5 Response Smuggling ne rappellent que deux des risques potentiels induits par des - requêtes non conformes. Avec l'introduction de cette directive, toutes les - règles de grammaire de la spécification doivent être respectées dans le mode - d'opérations par défaut Strict.

+ requêtes non conformes, alors que RFC 7230 + §3.5 signale les risques encourus par l'acceptation de blancs non + conformes dans les lignes de requête. Avec l'introduction de cette + directive, toutes les règles de grammaire de la spécification doivent être + respectées dans le mode d'opérations par défaut Strict.

RFC 3986 §2.2 and 2.3 définit les "Caractères réservés" ainsi que les @@ -1404,23 +1417,6 @@ Apache contournée en utilisant l'option UnsafeURI qui permet de supporter les agents utilisateur mal conçus.

- - -

La section de la RFC 7230 - §3.5 "Message Parsing Robustness" décrit les risques potentiels - induits par l'interprétation de messages contenant des blancs représentés - par un caractère autre que l'espace. Alors que les spécifications indiquent - qu'un et un seul espace sépare l'URI de la méthode et le protocole de l'URI, - et que seuls les espaces et les tabulations horizontales sont autorisés - dans le contenu des en-têtes de requêtes, - le serveur HTTP Apache a toujours toléré des blancs constitués d'un ou - plusieurs espaces ou tabulations horizontales. L'option par défaut - StrictWhitespace permet maintenant de rejeter toute requête non - conforme. L'administrateur peut cependant utiliser l'option - UnsafeWhitespace pour continuer à accepter les requêtes non - conformes, avec un risque important d'interactions avec le mandataire.

-

Il est fortement déconseillé aux utilisateurs d'utiliser les modes d'opérations Unsafe et UnsafeURI, ou UnsafeWhitespace, en particulier pour les déploiements de