Le C est rapide, c'est le premier facteur et le second c'est que NginX est en C. Il est possible de le faire en LUA à priori mais vu les débits considéré, le développeur à évité le scripting pour des raisons d'optimisation.
Actuellement le footprint mémoire & cpu constaté est de moins de 2%. Le main dev, est un expert en sécurité et lead pentester depuis 6 ans à NBS, il a donc vu et développé plus d'un overflow et y a été sensible lors de son développement.
Enfin, pour les règles, oui, le principe est assez proche de spam assassin, l'idée étant plus de faire de la whitelist que de la signature.
Le PHP serait trop lent pour faire ce type de traitements sur des machines (les reverses proxy) qui ont des millions de pages à livrer à l'heure. Le C est un langage compilé, qui permet d'optimiser ce type de traitement et permet d'appliquer un filtrage des dizaines de fois plus rapidement que PHP ne le pourrait.
Par ailleurs, c'est une extension de Nginx, donc il faut le faire tourner dans les normes du processus parent, qui n'est pas non plus en PHP.
Il ne viendrait à personne l'idée de faire Apache en PHP et faire un Nginx/Naxsi en PHP ca revient à peu prêt au même. Bientôt un kernel linux en php, very 2012 et web 3.0 ;)
PS : c'est le soft utilisé pour protéger le site de charlie hebdo depuis son retour en ligne : http://twitter.com/#!/NAXSI_WAF
[^] # Re:téchnique?
Posté par kameo . En réponse à la dépêche NAXSI, un module de filtrage HTTP pour nginx. Évalué à -4.
???
[^] # Re: téchnique ?
Posté par kameo . En réponse à la dépêche NAXSI, un module de filtrage HTTP pour nginx. Évalué à 10.
Le C est rapide, c'est le premier facteur et le second c'est que NginX est en C. Il est possible de le faire en LUA à priori mais vu les débits considéré, le développeur à évité le scripting pour des raisons d'optimisation.
Actuellement le footprint mémoire & cpu constaté est de moins de 2%. Le main dev, est un expert en sécurité et lead pentester depuis 6 ans à NBS, il a donc vu et développé plus d'un overflow et y a été sensible lors de son développement.
Enfin, pour les règles, oui, le principe est assez proche de spam assassin, l'idée étant plus de faire de la whitelist que de la signature.
# PHP vs C
Posté par kameo . En réponse à la dépêche NAXSI, un module de filtrage HTTP pour nginx. Évalué à 9.
Le PHP serait trop lent pour faire ce type de traitements sur des machines (les reverses proxy) qui ont des millions de pages à livrer à l'heure. Le C est un langage compilé, qui permet d'optimiser ce type de traitement et permet d'appliquer un filtrage des dizaines de fois plus rapidement que PHP ne le pourrait.
Par ailleurs, c'est une extension de Nginx, donc il faut le faire tourner dans les normes du processus parent, qui n'est pas non plus en PHP.
Il ne viendrait à personne l'idée de faire Apache en PHP et faire un Nginx/Naxsi en PHP ca revient à peu prêt au même. Bientôt un kernel linux en php, very 2012 et web 3.0 ;)
PS : c'est le soft utilisé pour protéger le site de charlie hebdo depuis son retour en ligne : http://twitter.com/#!/NAXSI_WAF