Поскольку существует работающий эксплойт против реализации диапазона байтов Apache (CVE-2011-3192, посмотреть здесь), Я бы хотел отключить его до тех пор, пока с моими дистрибутивами (Debian, Ubuntu) не будут отправлены официальные исправления. Все сайты - это "обычные" сайты без больших загрузок. Есть ли какие-либо недостатки в отключении этой функции, кроме загрузки, которая не может быть возобновлена?
PS: Я отключаю эту функцию, включив mod_headers и сбросить заголовок диапазона, используя следующую строку:
RequestHeader unset Range
Некоторым приложениям, которые обращаются напрямую к сайтам, нравится использовать диапазоны - я считаю, что Adobe Reader - хороший пример.
Вы можете просмотреть журналы Apache с помощью grep в поисках 206 коды частичного ответа, чтобы узнать, действительно ли кто-нибудь использует диапазоны для вашего сайта.
В качестве обходного пути для этого эксплойта я бы сказал использовать тот, который рекомендован Apache, который просто блокирует диапазоны, когда запрашивается более 5 наборов, что должно оставлять любые обычные запросы диапазонов нетронутыми, но блокировать вредоносные:
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range