|
|
 | IIS 6.0 Kernel Mode
Fra : FreeMan |
Dato : 27-04-03 13:43 |
|
Hej
Jeg har siddet og kigget lidt på den nye Windows Server 2003. Det første
produkt der er skabt under ´Microsofts nye "secure computing" program.
Umiddelbart, er da også sket nogle forbedringer. Det ser ud til at man har
anlagt en "least privelige" politik, ligesom de fleste services kommer i en
locked-down state, dvs. hvor man selv skal slå diverse features til.
Altsammen meget godt...
Men så faldt jeg over følgende interview med Rob Short, vice-president for
Windows Core Technology: http://zdnet.com.com/2100-1104-998369.html
I interviewet hedder det:
Q: You pushed some of the IIS into the kernel, didn't you?
A: We have what we call a listener, an HTTP handler that we pushed into the
kernel. We were looking at how to improve performance. Requests come in and
go all the way through the networking and back into user mode where they're
handed off. There is a huge amount of the web traffic that you can respond
to very quickly without having to have a user mode. So there's HTTP.SYS, a
driver that runs in kernel mode and responds in ways that are very well
understood, with some parsing and quite a bit of caching, and it handles
sessions and it's a huge performance win.
Personally, I'm against shoving things into the kernel. That was a very
careful decision. We have a lot of parsing in there, and that opens you up
to buffer overruns and attacks. The amount of scrutiny that code has got is
just plain ugly. Anything that gets it confused gets shoved straight back
up.
Nu er jeg godt klar over, at der sandsynligvis er tale om særdeles low-level
funktioner, og at IIS også tidligere har anvendt Kernel mode funktioner. Og
jeg er bestemt heller ikke ekspert ud i Kernel mode vs. User mode.
Men især ordet "parsing" får det altså mig til at løbe koldt ned af ryggen.
IIS 6.0 skal altså udføre diverse parsing funktioner i Kernel mode...
Jeg håber virkelig at der er nogen her i gruppen, da kan forsikre mig om, at
dette er en fornuftig og velgennemtænkt beslutning. For jeg synes
principielt at det lyder som en meget dårlig designbeslutning.
Er der nogen der kan forhindre at jeg får mareridt om IIS 6.0?
Lars
| |
 Kent Friis (27-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 27-04-03 15:35 |
|
Den Sun, 27 Apr 2003 14:42:48 +0200 skrev FreeMan:
>
>Jeg håber virkelig at der er nogen her i gruppen, da kan forsikre mig om, at
>dette er en fornuftig og velgennemtænkt beslutning. For jeg synes
>principielt at det lyder som en meget dårlig designbeslutning.
Enig, men sikkerhed og Microsoft har altid været modsætninger.
>Er der nogen der kan forhindre at jeg får mareridt om IIS 6.0?
Kan man ikke bare afinstallere den? Det så da ud til at være en driver-
agtig ting der kan installeres hvis man har brug for det.
Ellers må du skam gerne låne en Linux install-CD.
Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped
With XMMS tugging along nicely, playing Vivaldi...
| |
FreeMan (27-04-2003)
| Kommentar
Fra : FreeMan |
Dato : 27-04-03 17:38 |
|
> Ellers må du skam gerne låne en Linux install-CD.
>
Ellers tak - jeg har allerede. Men man får jo ikke nødvendigvis selv lov til
at vælge platform på sin arbejdsplads.
Og så eksisterer der da vist mindst én kernel mode Linux HTTP server 
God weekend
Lars
| |
 Kent Friis (27-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 27-04-03 18:25 |
|
Den Sun, 27 Apr 2003 18:37:46 +0200 skrev FreeMan:
>
>> Ellers må du skam gerne låne en Linux install-CD.
>>
>
>Ellers tak - jeg har allerede. Men man får jo ikke nødvendigvis selv lov til
>at vælge platform på sin arbejdsplads.
>
>Og så eksisterer der da vist mindst én kernel mode Linux HTTP server
To, men i modsætning til visse andre systemer, er det jo muligt at
compile kernen uden det skrammel.
Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?
| |
Kasper Dupont (28-04-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 28-04-03 07:15 |
|
FreeMan wrote:
>
> Og så eksisterer der da vist mindst én kernel mode Linux HTTP server
Ja, men den har man aldrig været tvunget til at bruge. Umiddelbart lyder
det ikke som om den nye feature i kernen er valgfri. Hvad angår kernel
mode HTTP servere i Linux, så er de mig bekendt blevet droppet igen,
fordi performance af user mode programmer med threads er blevet forbedret
så meget, at der ikke mere er nogen pointe i at køre HTTP i kernen.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Kent Friis (28-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 28-04-03 16:16 |
|
Den Mon, 28 Apr 2003 08:14:37 +0200 skrev Kasper Dupont:
>FreeMan wrote:
>>
>> Og så eksisterer der da vist mindst én kernel mode Linux HTTP server
>
>Ja, men den har man aldrig været tvunget til at bruge. Umiddelbart lyder
>det ikke som om den nye feature i kernen er valgfri. Hvad angår kernel
>mode HTTP servere i Linux, så er de mig bekendt blevet droppet igen,
>fordi performance af user mode programmer med threads er blevet forbedret
>så meget, at der ikke mere er nogen pointe i at køre HTTP i kernen.
Jeg tror ikke kernel-mode httpd er blevet fjernet (jeg skal ikke udelukke
at det er sket og jeg bare har overset det), men der var snak om det,
fordi thttpd er blevet lige så hurtig.
Men jeg mener nu ikke at thttpd bruger threads, og det var desuden længe
før next-gen threads at thttpd var lige så hurtig som khttpd.
Til gengæld var det sendfile() og zerocopy networking der gav thttpd så
meget ekstra hastighed.
Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"
| |
Kasper Dupont (29-04-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 29-04-03 07:00 |
|
Kent Friis wrote:
>
> Den Mon, 28 Apr 2003 08:14:37 +0200 skrev Kasper Dupont:
> >FreeMan wrote:
> >>
> >> Og så eksisterer der da vist mindst én kernel mode Linux HTTP server
> >
> >Ja, men den har man aldrig været tvunget til at bruge. Umiddelbart lyder
> >det ikke som om den nye feature i kernen er valgfri. Hvad angår kernel
> >mode HTTP servere i Linux, så er de mig bekendt blevet droppet igen,
> >fordi performance af user mode programmer med threads er blevet forbedret
> >så meget, at der ikke mere er nogen pointe i at køre HTTP i kernen.
>
> Jeg tror ikke kernel-mode httpd er blevet fjernet (jeg skal ikke udelukke
> at det er sket og jeg bare har overset det), men der var snak om det,
> fordi thttpd er blevet lige så hurtig.
http://www.codemonkey.org.uk/post-halloween-2.5.txt
Under "Deprecated features" står der: "khttpd is gone."
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Kent Friis (29-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 29-04-03 16:00 |
|
Den Tue, 29 Apr 2003 08:00:24 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Mon, 28 Apr 2003 08:14:37 +0200 skrev Kasper Dupont:
>> >FreeMan wrote:
>> >>
>> >> Og så eksisterer der da vist mindst én kernel mode Linux HTTP server
>> >
>> >Ja, men den har man aldrig været tvunget til at bruge. Umiddelbart lyder
>> >det ikke som om den nye feature i kernen er valgfri. Hvad angår kernel
>> >mode HTTP servere i Linux, så er de mig bekendt blevet droppet igen,
>> >fordi performance af user mode programmer med threads er blevet forbedret
>> >så meget, at der ikke mere er nogen pointe i at køre HTTP i kernen.
>>
>> Jeg tror ikke kernel-mode httpd er blevet fjernet (jeg skal ikke udelukke
>> at det er sket og jeg bare har overset det), men der var snak om det,
>> fordi thttpd er blevet lige så hurtig.
>
> http://www.codemonkey.org.uk/post-halloween-2.5.txt
>
>Under "Deprecated features" står der: "khttpd is gone."
Så har du nok ret...
Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not D:\WINNT\SETUP
| |
FreeMan (28-04-2003)
| Kommentar
Fra : FreeMan |
Dato : 28-04-03 19:23 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3EACC6CD.ECCC384@daimi.au.dk...
> FreeMan wrote:
> >
> > Og så eksisterer der da vist mindst én kernel mode Linux HTTP server
>
> Ja, men den har man aldrig været tvunget til at bruge. Umiddelbart lyder
> det ikke som om den nye feature i kernen er valgfri. Hvad angår kernel
> mode HTTP servere i Linux, så er de mig bekendt blevet droppet igen,
> fordi performance af user mode programmer med threads er blevet forbedret
> så meget, at der ikke mere er nogen pointe i at køre HTTP i kernen.
>
Det var nu også mere for at påpege, at Microsoft bestemt ikke var de eneste
der havde fået den "glimrende" idé.
Iøvrigt så findes kHTTPd stadigvæk. Jeg har som du beskriver, set
forskellige forklaringer på, at der er så lidt performance forskel mellem
kernel og user mode, at man efterhånden har droppet tanken om kernel HTTP
servere. Men ikke desto mindrem, så kan man på
http://www.fenrus.demon.nl/performance.html se en benchmark, der angiveligt
viser, at kHTTPd serveren er hurtigere end en utunet Apache og Zeus server.
På den anden side skriver de selv, at man skal stole lige så lidt på
benchmarks som på politikere
Og så serverer kHTTPd kun statisk indhold. Jeg kan ikke helt gennemskude om
IIS 6.0 kernel modul også skal tage sig af dynamisk indhold (hvor den
sikkerhedsmæssige udfordring må antages at stige kraftigt).
Men tak for svarene til Jer begge.
Lars
| |
Kent Friis (28-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 28-04-03 20:14 |
|
Den Mon, 28 Apr 2003 20:22:55 +0200 skrev FreeMan:
>
>"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
>news:3EACC6CD.ECCC384@daimi.au.dk...
>> FreeMan wrote:
>> >
>> > Og så eksisterer der da vist mindst én kernel mode Linux HTTP server
>>
>> Ja, men den har man aldrig været tvunget til at bruge. Umiddelbart lyder
>> det ikke som om den nye feature i kernen er valgfri. Hvad angår kernel
>> mode HTTP servere i Linux, så er de mig bekendt blevet droppet igen,
>> fordi performance af user mode programmer med threads er blevet forbedret
>> så meget, at der ikke mere er nogen pointe i at køre HTTP i kernen.
>>
>
>Det var nu også mere for at påpege, at Microsoft bestemt ikke var de eneste
>der havde fået den "glimrende" idé.
>
>Iøvrigt så findes kHTTPd stadigvæk. Jeg har som du beskriver, set
>forskellige forklaringer på, at der er så lidt performance forskel mellem
>kernel og user mode, at man efterhånden har droppet tanken om kernel HTTP
>servere. Men ikke desto mindrem, så kan man på
> http://www.fenrus.demon.nl/performance.html se en benchmark, der angiveligt
>viser, at kHTTPd serveren er hurtigere end en utunet Apache og Zeus server.
>På den anden side skriver de selv, at man skal stole lige så lidt på
>benchmarks som på politikere
Apache har ry for at være den langsomste webserver, hvis du skal
sammenligne med en hurtig webserver, så kig på tHttpd.
>Og så serverer kHTTPd kun statisk indhold. Jeg kan ikke helt gennemskude om
>IIS 6.0 kernel modul også skal tage sig af dynamisk indhold (hvor den
>sikkerhedsmæssige udfordring må antages at stige kraftigt).
Ikke som jeg læser det, alt hvad der ikke er simpelt skulle leveres
videre til userspace.
Mvh
Kent
--
Exception 0E in module IFSMGR.VXD
Press control-alt-delete to reboot
| |
Kasper Dupont (29-04-2003)
| Kommentar
Fra : Kasper Dupont |
Dato : 29-04-03 07:07 |
|
FreeMan wrote:
>
> Det var nu også mere for at påpege, at Microsoft bestemt ikke var de eneste
> der havde fået den "glimrende" idé.
Ja, hvis ikke du havde påpeget det, så ville jeg have gjort det. Så det er
ikke noget nyt, Linux har været der og er på vej vidre. Det er en glimrende
idé, hvis du kun tænker på performance. Men udfra stabilitet og sikkerheds
synspunkter bør den slags holdes udenfor kernen. Når 2.6 kommer senere i år
vil det være uden khttpd, men du kan sikkert stadig selv installere den,
hvis du virkelig vil det.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
|
|