Re: mod_proxy apache

From: Rainer Duffner <rainer(at)ultra-secure.de>
Date: Thu, 17 Mar 2005 15:09:58 +0100

Oliver Fromme wrote:

>Rainer Duffner <rainer(at)ultra-secure.de> wrote:
> > Oliver Fromme wrote:
> > > [...]
> > > mod_proxy_html ist ein _Zusatzmodul_ für mod_proxy, das
> > > dafür sorgt, daß die Links in HTML-Dokumenten umgeschrie-
> > > ben werden. Die kann in Situationen nützlich sein, wo
> > > man Apache's ProxyPass verwendet (allerdings mit gewissen
> > > Einschränkungen, z.B. sind dynamisch generierte URLs pro-
> > > blematisch). Ob Du dieses Zusatzmodul ebenfalls benötigst,
> > > hängt von Deinem speziellen Anwendungsfall ab. Siehe auch:
> > >
> > > http://apache.webthing.com/mod_proxy_html/
> >
> > mod_proxy_html ist sehr gut, aber was natürlich vorallem Probleme macht
> > sind URLs bzw. Links in JavaScript - die kann eigentlich niemand
> > umschreiben.
>
>Ja, das meinte ich mit »dynamisch generierten URLs«.
>
> > Gerüchteweise sollen kommerzielle Reverse-Proxies damit weniger Probleme
> > haben,
>
>Wie soll das gehen, wenn eine URL erst im Client-Browser
>per Script zusammengesetzt wird (abhängig von Benutzer-
>interaktion)? Darauf kann der Reverse-Proxy keinerlei
>Einfluß nehmen.
>
>
>

Nun, das ist die Auskunft, die ich von Leuten bekommen habe, die sich
z.B. mit dem SAP Web Application Server auskennen.
Dessen "Weboberfläche" ist ein grausames Gemenge aus HTML und JavaScript
- aber es gibt gewisse Proxies (besser: SSO-Lösungen), die dafür
"zertifiziert" sind: SUN, IBM (ein Tivoli Sub-Produkt eigentlich),
Novell etc.pp. - und MS ISA.
Und dann gibt es ja noch diverse "SSL-VPNs", die ja auch mit sowas
umgehen können sollten...

>Von daher würde ich solche Gerüchte mit ziemlicher Skepsis
>betrachten.
>
>Andererseits steht ein Reverse-Proxy ja üblicherweise vor
>einem eigenen Server (oder einer Server-Farm / -Cluster),
>d.h. man hat selbst Einfluß auf den Content, der ausgelie-
>fert werden soll.
>

Bedingt :-\

>Man kann dann natürlich seine Web-Appli-
>kationen so gestalten, daß o.g. Probleme gar nicht erst
>auftreten.
>

Leider im "Enterprise Umfeld" eher unwahrscheinlich: die Leute, die sich
mit dem Produkt, um das es geht "auskennen", können es meistens gerade
mal installieren (wenn nichts schiefgeht).

> Und wenn man ganz clever ist, kann man sogar
>soweit gehen, daß man mod_proxy_html gar nicht benötigt,
>was auch der Performance sicherlich zuträglich ist, da
>der HTML-Content nicht geparst werden muß. Zumal man Re-
>verse-Proxies ja häufig gerade zur _Steigerung_ der Per-
>formance einsetzt, nicht zur Herabsetzung. ;-)
>
>
>

IIRC hilft der Autor von mod_proxy_html gg. "Gebühr" auch bei der
Konfiguration von Caching-Reverse-Proxies...

Rainer

-- 
===================================================
~     Rainer Duffner - rainer(at)ultra-secure.de     ~
~           Freising - Munich - Germany           ~
~    Unix - Linux - BSD - OpenSource - Security   ~
~  http://www.ultra-secure.de/~rainer/pubkey.pgp  ~
===================================================
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 17 Mar 2005 - 15:10:35 CET

search this site