Відбувся реліз легковажного http-сервера lighttpd 1.4.65, який намагається поєднувати високу продуктивність, безпеку, відповідність стандартам та гнучкість налаштування. Lighttpd придатний для застосування на високонавантажених системах та націлений на низьке споживання пам'яті та ресурсів CPU. У новій версії представлено 173 зміни. Код проекту написаний мовою Сі та поширюється під ліцензією BSD.
Основні нововведення:
- Додано підтримку WebSocket поверх HTTP/2, а також реалізовано RFC 8441, що описує механізм для запуску протоколу WebSockets в одному потоці всередині з'єднання HTTP/2.
- Реалізовано розширену схему управління пріоритетами, що дозволяє клієнту впливати на пріоритет переданих сервером відповідей (RFC 9218), а також керувати пріоритетами при перенаправленні запитів. Для HTTP/2 забезпечено підтримку кадру PRIORITY_UPDATE.
- У налаштуваннях lighttpd.conf додано підтримку умовних зіставлень з прив'язкою до початку (=^) і кінця (=$) рядка. Подібні рядкові перевірки значно швидше за регулярні вирази і достатні для багатьох простих перевірок.
- У mod_webdav додано підтримку часткових операцій PUT (що охоплюють частину даних за допомогою заголовка Range). Для включення можна використовувати опцію webdav.opts += (partial-put-copy-modify => enable)).
- До mod_accesslog додано опцію 'accesslog.escaping = 'json'».
- У mod_deflate додано підтримку збірки з libdeflate.
- Прискорено передачу тіла запиту через HTTP/2.
- Значення параметра server.max-keep-alive-requests за замовчуванням змінено від 100 до 1000.
- У списку MIME-типів "application/javascript" замінений на "text/javascript" (RFC 9239).
На майбутні заплановано застосування більш строгих налаштувань шифрів для TLS та відключення за замовчуванням застарілих шифрів. Налаштування CipherString буде змінено зі значення «HIGH» на «EECDH+AESGCM:AES256+EECDH:CHACHA20:SHA256:!SHA384». Також заплановані до видалення застарілі опції TLS: ssl.honor-cipher-order, ssl.dh-file, ssl.ec-curve, ssl.disable-client-renegotiation, ssl.use-sslv2, ssl.use-sslv3. Додатково буде продовжено чищення міні-модулів, які можна замінити гнучкішою Lua-реалізацією mod_magnet. Зокрема, намічені до видалення модулі mod_evasive, mod_secdownload, mod_uploadprogress та mod_usertrack.
Джерело: opennet.ru