FastCGI: 30 лет, и всё ещё лучший протокол для обратных прокси

В статье утверждается, что HTTP принципиально непригоден для взаимодействия обратного прокси с бэкендом из-за уязвимостей десинхронизации/кражи запросов и проблем с ненадежными заголовками. FastCGI, 30-летний проводной протокол, чисто решает эти проблемы.
Почему HTTP плох для обратных прокси
Атаки десинхронизации / кража запросов: HTTP/1.1 не имеет явной фреймовой структуры сообщений — само сообщение описывает, где оно заканчивается, причем существует несколько неоднозначных способов это сделать. Разные парсеры (прокси и бэкенд) могут по-разному определять границы сообщений, что открывает путь для атак. Джеймс Кеттл, обнаружив очередную партию таких атак в прошлом году, заявил: «HTTP/1.1 должен умереть». HTTP/2 решает эту проблему при последовательном использовании, но внедрение идет медленно: nginx получил поддержку HTTP/2 на бэкенде только в конце 2025 года, а поддержка Apache все еще «экспериментальная».
Ненадежные заголовки: Нет надежного способа передать от прокси к бэкенду доверенную информацию (IP клиента, данные аутентификации, сертификаты mTLS), не смешивая ее с контролируемыми атакующим клиентскими заголовками. Прокси должны тщательно удалять все экземпляры заголовков вроде X-Real-IP перед добавлением своих — легко ошибиться. FastCGI имеет отдельные каналы параметров (например, REMOTE_ADDR, AUTH_TYPE), которые структурно отличаются от данных запроса.
FastCGI: проводной протокол, а не модель процесса
FastCGI можно использовать как HTTP — отправлять запросы через TCP/UNIX-сокеты долгоживущему демону. В Go переключение тривиально:import "net/http/fcgi"
Замените http.Serve(l, handler) на fcgi.Serve(l, handler). Ваш обработчик по-прежнему использует стандартные http.ResponseWriter и http.Request.
Примеры конфигурации прокси
nginx:
# HTTP
proxy_pass http://localhost:8080;
FastCGI
fastcgi_pass localhost:8080;
include fastcgi_params;
Apache:
# HTTP
ProxyPass / http://localhost:8080/
FastCGI
ProxyPass / fcgi://localhost:8080/
Caddy:
# HTTP
reverse_proxy localhost:8080 {
transport http { }
}
FastCGI
reverse_proxy localhost:8080 {
transport fastcgi { }
}
HAProxy:
# HTTP
backend app_backend
server s1 localhost:8080
FastCGI
fcgi-app fcgi_app
docroot /
backend app_backend
use-fcgi-app fcgi_app
server s1 localhost:8080 proto fcgi
Популярные прокси, такие как Apache, Caddy, nginx и HAProxy, поддерживают бэкенды FastCGI с простыми изменениями конфигурации.
Ключевой вывод
FastCGI с 1996 года имеет явную фреймовую структуру сообщений (простой заголовок с длиной содержимого, никакой неоднозначности) и отдельные доверенные каналы параметров. Переход с HTTP на FastCGI между прокси и бэкендом устраняет целый класс уязвимостей без потери функциональности.
📖 Read the full source: HN AI Agents
👀 Смотрите также

Сканер локального внедрения промптов в модели для безопасности AI-навыков
Концептуальный инструмент сканирует сторонние навыки ИИ на наличие скрытых инъекций bash-команд с использованием локальной модели без вызова инструментов, такой как mistral-small:latest на Ollama, решая проблемы безопасности в функции оператора ! в Claude Code.

Сообщается, что приложение Claude для Android читает буфер обмена без явного действия пользователя
Пользователь сообщает, что приложение Claude для Android проанализировало код из его буфера обмена без вставки, при этом Claude определил файл как pasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txt. Поведение не удалось воспроизвести в последующих тестах.

Мошеннический инструмент Roblox и ИИ вызвали сбой платформы Vercel.
Сообщается, что читерская программа для Roblox в сочетании с инструментом искусственного интеллекта вызвала полный сбой платформы Vercel, что привело к активному обсуждению на Hacker News с 66 баллами и 24 комментариями.

Клод Код обнаруживает 23-летнюю уязвимость в ядре Linux
Исследователь Anthropic Николас Карлини использовал Claude Code для обнаружения нескольких удалённо эксплуатируемых переполнений буфера кучи в ядре Linux, включая одну, которая была скрыта в течение 23 лет. ИИ нашёл ошибки с минимальным контролем, просканировав всё дерево исходного кода ядра.