Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Se você ainda achava que o NGINX era uma solução segura por padrão, melhor reavaliar.
Recentemente, a NGINX lançou versões 1.30.1 e 1.31.0 com patches importantes contra CVEs que poderiam comprometer suas aplicações.
O problema é que, mesmo com as correções, o risco de request injection e bugs no rewrite continuam sendo uma dor de cabeça. Sem esse critério, a solução pode parecer simples no começo e cara no suporte.
E aí, quem aqui já revisou a configuração de proy e rewrite após essas atualizações? O valor aparece melhor quando operação, produto e engenharia olham para o mesmo risco. Por isso, o recorte precisa considerar manutenção, validação e caminho de volta. Esse contexto ajuda a separar ganho real de novidade difícil de sustentar.
Na prática, a segurança do seu ambiente depende muito mais de uma configuração cuidadosa do que da própria ferramenta. Por isso, o recorte precisa considerar manutenção, validação e caminho de volta. Esse contexto ajuda a separar ganho real de novidade difícil de sustentar. A decisão fica mais saudável quando o time consegue medir o impacto depois. Sem esse critério, a solução pode parecer simples no começo e cara no suporte.
O que vocês fazem para garantir que essas vulnerabilidades não se transformem em um problema sério na produção? Esse contexto ajuda a separar ganho real de novidade difícil de sustentar. A decisão fica mais saudável quando o time consegue medir o impacto depois. Sem esse critério, a solução pode parecer simples no começo e cara no suporte. O valor aparece melhor quando operação, produto e engenharia olham para o mesmo risco. Por isso, o recorte precisa considerar manutenção, validação e caminho de volta.
Só pra avisar, esses CVEs mostram que a gente não pode confiar 100% na ferramenta, tem que estar sempre atento às configurações. Já passei por isso, a atualização não resolve tudo, tem que fazer a revisão manual.
Isso parece bom para começar, mas eu queria comparar antes e depois. Principalmente em tempo de feedback, porque é ali que o custo aparece quando o time muda.
Alguém já viu isso rodando com usuário real e suporte em cima?
duvido!
Aqui no meu time, a gente também fez uma auditoria nos headers e nas regras de rewrite. Ainda assim, fica a dúvida se o patch cobre tudo ou se é preciso um layer adicional de segurança.
Concordo, Pedro. Além disso, acho que vale monitorar bem os logs, pra detectar qualquer tentativa de request injection que possa passar despercebida mesmo após o patch.