release van een lichtgewicht http-server . De nieuwe versie bevat 149 wijzigingen, met name de standaard opname van URL-normalisatie, een herwerking van mod_webdav en prestatie-optimalisatie.
Sinds lighttpd 1.4.54 Servergedrag gerelateerd aan URL-normalisatie bij het verwerken van HTTP-verzoeken. Opties voor strikte controle van waarden in de Host-header zijn geactiveerd, normalisatie van links die in headers worden verzonden en het blokkeren van links met niet-geëscapede controletekens zijn ook ingeschakeld. Het normalisatieproces omvat automatische conversie van '\' naar '/', '%2F' naar '/', '%20' naar '+', resolutie en verwijdering van delen van bestandspaden met '.'-mappen. en '..', waarbij de ontsnapte tekens '-', '.', '_' en '~' worden gedecodeerd.
Indien gewenst kan het URL-verwerkingsgedrag in de instellingen worden gewijzigd met behulp van de opties “header-strict”, “host-strict”, “host-normalize”, “url-normalize”, “url-normalize-unreserved”, “url -normaliseren-vereist” ",
"url-ctrls-reject", "url-path-2f-decode", "url-path-dotseg-remove" en "url-query-20-plus", die nu zijn ingesteld op "enable".
Andere veranderingen zijn onder meer een volledige herwerking van de mod_webdav-module, waardoor volledige compatibiliteit met specificaties kon worden bereikt en de prestaties en betrouwbaarheid konden worden verbeterd. Een van de compatibiliteitsbrekende wijzigingen aan mod_webdav is het blokkeren van onvolledige PUT-verzoeken. Mod_auth voegt ondersteuning toe voor het SHA-256-algoritme voor het hashen van authenticatieparameters (HTTP Auth Digest).
Er is een nieuwe module voorgesteld, mod_maxminddb, ter vervanging van mod_geoip (mod_geoip is nu verouderd).
Bron: opennet.ru