Состоялся релиз легковесного http-сервера lighttpd 1.4.53. В новой версии представлено 42 изменения, из которых большинство связано с исправлением ошибок. Из новшеств можно выделить добавление поддержки работы lighttpd в связке с systemd с активацией по сокету и реализацию расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), которое используется в HTTP/2 (непосредственно HTTP/2 в lighttpd пока не поддерживается).

Разработчики lighttpd также напоминают о грядущем изменении настроек по умолчанию, связанных с нормализацией URL при обработке HTTP-запросов. В первом квартале 2019 года будут активированы опции жёсткой проверки значений в заголовке Host, а также включена нормализация передаваемых в заголовках ссылок и блокирование ссылок с неэкранированными управляющими символами. В процессе нормализации будет включено автоматическое преобразование ‘\’ в ‘/’, “%2F” в “/”, ‘%20’ в ‘+’, разрешение и удаление частей файловых путей с каталогами ‘.’ и ‘..’, декодирование экранированных символов ‘-‘, ‘.’, ‘_’ и ‘~’.

opennet.ru