mod_gzip - Auslieferung komprimierter Inhalte durch den Apache-Webserver
mod_gzip - was ist das überhaupt?
mod_gzip ist ein im Herbst 2000 von Kevin Kiley und Konstantin Balashov geschaffenes externes Erweiterungsmodul für den im WWW am weitesten verbreiteten Webserver Apache.
Sein Einsatz ermöglicht die Verwendung des Komprimierungsverfahrens gzip
für eine spürbare Reduzierung des Umfangs der über das Protokoll HTTP transportierten Inhalte von Webseiten.
Beginnend mit Version 1.3.19.2a hat mod_gzip eine neue Heimat erhalten.
Und worum geht es auf diesen Seiten hier?
Eine Dokumentation, welche diesen Namen (in meinen Augen) verdienen würde, existiert bisher (noch) nicht - weder für Anwender noch für Programmierer (welche ggf. weitere Funktionen in dieses Modul einbauen wollen).
Auf den vorliegenden Seiten habe ich mir zum Ziel gesetzt, Informationen aller Art über mod_gzip zu sammeln und sowohl auf Deutsch als auch auf Englisch zur Verfügung zu stellen (die Erkennung der passenden Sprache erfolgt aufgrund des vom Browser gesendeten HTTP-Headers Accept-Language:
- dieser sollte also in der Browser-Konfiguration passend eingestellt sein).
Insbesondere dokumentieren diese Seiten bereits die Änderungen der Version 1.3.19.2a gegenüber der (möglicherweise letzten von Remote Communications Inc. veröffentlichten) Version 1.3.19.1a.
Weitere Änderungen beziehen sich auf die Veröffentlichung der Version 1.3.26.1a.
[2003-06-17] Bezüglich der von Matt Murphy in bugtraq gemeldeten Sicherheitsprobleme in mod_gzip 1.3.26.1a gelten folgende Aussagen:
- Alle drei Verwundbarkeiten beziehen sich ausschließlich auf den Debug-Code von mod_gzip, welcher lediglich zur Erleichterung der Weiterentwicklung des Moduls existiert.
- Dieser Debug-Code wird bei einer normalen mod_gzip-Installation gar nicht übersetzt - und sollte in einer produktiven Installation definitiv nicht verwendet werden.
Daher gibt es noch nicht einmal ein einfach zu handhabendes Verfahren, diesen Debug-Code tatsächlich einzubinden - in Version 1.3.26.1a wäre eine Änderung des Quelltextes erforderlich (entweder im C-Code oder im Makefile). - In älteren Versionen von mod_gzip existierte diese Trennung des Debug-Codes vom restlichen Quelltext noch nicht - die Gefahr, entsprechenden fehlerhaften Programmcode zu verwenden, ist bei älteren Versionen möglicherweise höher als bei der aktuellen Version.
- Ungeachtet der vorherigen Aussagen ist es beabsichtigt, diese Verwundbarkeiten in der nächsten Version von mod_gzip zu beheben.
(Michael Schröpl, 2003-06-17)