Разработчики Chrome сообщили о добавлении в тестовые ветки Chrome Canary, Dev и Beta новой экспериментальной настройки "chrome://flags#omnibox-default-typed-navigations-to-https", при активации которой при наборе имён хостов в адресной строке сайт по умолчанию будет открываться с использованием схемы "https://", а не "http://". В запланированном на 2 марта выпуске Chrome 89 указанная возможность будет включена по умолчанию для небольшого процента пользователей и, если не возникнет непредвиденных проблем, использование по умолчанию HTTPS будет предложено всем в выпуске Chrome 90...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54668
отличная новость
HTTPS переоценён и в большинстве случаев не стоит возни по его поддержке. Уверен что бОльшая часть сайтов, перешедшая на HTTPS, сделала это не по причине необходимости шифрования, а по причине навязывания этого перехода со стороны браузеров.
С одной стороны да, с другой это защищает трафик от вмешательства провайдера и прочих следящих
А так же не дает на стороне прокси вырезать рекламу.
Для чего, в общем то, и продвигается так агрессивно.
Это смотря чей прокси! Предустанавливаешь себе сертификат и в зависимости от этого либо у тебя вырезается все лишнее из трафика, либо в твой трафик мочат рыло всякие инфоватчи, "антивирусы", или маркетологи провайдера :)
Чтобы твой трафик не портили маркетологи провайдера достаточно просто ходить по https, а не отрезать себе возможность ходить по http.
Так ее вроде и не отрезают? Более того - а как вы себе HTTPS на вон тот 192.168.... представляете? Или роутером рулить и прочими штуками с вебмордами вам не надо? Ну или как им валидный сертификат то сделать, на неуникальный адрес?
Я - никак не представляю. Но народ радостно приветствует.
> Я - никак не представляю. Но народ радостно приветствует.Ща хипстеры из гуголя попробуют порулить своими точками доступа и заметят что с этим небольшая подстава...
> Ща хипстеры из гуголя попробуют порулить своими точками доступа и заметят что
> с этим небольшая подстава...Хипстеры из Гуголя рулят своими вайфаями через апликуху на телефоне и ваши проблемы их не касается. Все остальные тоже подхватили эту заразу, так что общая тенденция неутешительная.
По поводу того, что предпоследние улучшайзинги CSS в хромиуме покорёжили веб морды цисок, видимо у них зуб на сетевые устройства.
Пусть добавят сетевые адреса в исключения
> Пусть добавят сетевые адреса в исключенияИсключений довольно много так-то. Я уж не говорю что роутер логично назвать каким-нибудь router.lan чтоли. И допрут ли сие в исключения - отдельный вопрос.
SSL bump и свой корневой сертификат решают проблему, но в плане безопасности это пожалуй похуже чем напрямую в FF TLS версии и сертификаты валидировать.
На стороне прокси проходящий трафик видеть не обязательно.
Это плюс
> HTTPS переоценён и в большинстве случаев не стоит возниТаварисч майор, вы опять зонд забылы вынуть.
А в чем вообще смысл, если уже давно есть hsts заголовок, который говорит браузеру, что открой меня принудительно в https, пусть сайт и решает
Идиота кусок.Без HTTPS 99.99% коммерции в интернете на*бнётся - просто потому что любой м*дак между тобой и сайтом сможет устроить MITM и поиметь либо тебя, либо продавана, либо обоих.
Да и забудь про online доступ к банку.
// b.
С точки зрения именно секурности с HTTPS беда, пока ты не имеешь собственного DNS-сервера к нему в довесок, потому что валидация ныне вся на DNS завязана. И то возможность спуфинга остаётся.А вот защиту от колхозных васянских MITM и всяких врезаний реклам в трафик HTTPS даёт, и уже это хорошо.
Всё это блеяние про "не стоит возни" легко прекращается после баннера ростелекома на полстраницы в рыло с какого-нибудь опеннета, или ещё лучше своего ресурса. Только у нелюбителей возни память как у золотой рыбки.
Так и запишем - аноним испугался одного баннера и вместо просто ходить по https требует запретить себе возможность ходить по http, чтобы смотреть тысячи оных.Гугл доволен - он хорошо воспитал себе потребителей свой рекламы, которую нельзя вырезать на мобильниках, телеках и кофеварках - любых девайсах, где можно смотреть веб но нельзя поставить полноценный браузер с адблоком.
Даааа,миллионы иdиотов на дно тянут нормальных людей.А вопрос Чернышевского как всегда актуален.
Где нельзя поставить браузер с адблоком можно хотя бы заблочить рекламные адреса через hosts.
Да нет там никакой возни по поддержке HTTPS. Настроил certbot и забыл.
Дал ему обязательные рут права и забыл. Ну или ручками, все ручками...
Кроме этого куска питона есть и много других клиентов. Даже на баше. Самый лол что один из таковых даже смогли продать суровому энтерпрайзу.
Ну интегрировался я тут на днях с LetsEncrypt самостоятельно, чтобы как раз таки это счастье не юзать.
В итоге понял, что ACME не так сложен, как его малюют :D
А также по причине уху евшести провайдеров, начавших врезать "кликни сюда, налети на N денег!" в то время как претензии за это начали валиться сайтам. Которым, естественно, фривольное обращение с их контентом в ущерб их репутации нафиг надо.
Cупер новость, реально. Я далеко не любитель гугла с его глобальным 1984 и датамайнингом в стиле "а когда ты вчера поср@л?", но безопасность в вебе они таки форсят иногда.И да, ребята, подскажите своим неразумным родителям возрыгающим херeунь типа "https переоценен!", "https нинужен!", "мне тяжело кликнуть дважды чтоб получить сертификат на сайт!" - вся эта глупая аудитория просто НАХОДКА для шпиена. Совершенно серьезно.
А, и да - абсолютно та же фигня с открытым DNS.
Что, реально кликнуть дважды? Не свистишь?Я просто тут две недели назад пытался (и у меня даже получилось). Но пришлось ставить виртуалку, настраивать веб-сервер, пробрасывать порты и только после этого скачивать и запускать скрипт, под рутом естественно.
Может я, конечно, не очень умный старпер. Так дорогой аноним - подскажи как мне на, скажем, домен starper.no-ip.net получить сертификат без вот этих телодвижений выше? Желательно именно что в два клика.
Можно и без клика:certbot certonly -d starper.no-ip.net
Или разговор про виндовс?
В чем? Старые протолокы снова удалят, ибо нинужны как было с ftp а Let's Encrypt забанят, через 5-10 лет, новую коркораты придумают, зато эмоджи завезли и пакет с обычного браузера 2010 года в раз в 10 если не больше. Старая Опера раньше умела и в торрент и почту, в расширение и виджеты. И по весу была 11,5 МБ а щас кроме лагов на Хромиуме нечего не может, страшно будет если все передут на електрон, аська раньше больше 1 МБ занимала, теперь ей надо минимум 512 ОЗУ
Как хорошо было в совке
Ну да, образование, например, было хорошим.
Смотря на наших пенсионеров и прочих что-то не особо видно, верят в любую чушь с телевизора.
Это потому, что им взаимоисключающей пропагандой сожгли модуль критического восприятия информации. Поэтому они очень, очень доверчивые.Хотя и образованные.
> Хотя и образованные.Посмотришь на сссровскую продукцию и состояние промышленности, а там все сделано как для врагов. Или в лучшем случае "квест: как из г-на и палок сделать что-нибудь работающее?!". На экспорт, кстати, почему-то старались поприличнее, но все-равно не очень получалось. Китайцы в этом месте ржут и крутят пальцем у виска: они делали ровно наоборот, лучшее себе, экспорт что останется уж.
В общем советское образование неплохо в фундаментальщине - но напрочь оторвано от реального мира с его проблемами и задачами, бида-бида. Поэтому "теоретически, Петька, мы миллионеры. А практически у нас 2 шалавы и дед п...с". А хрены которые эксперты во всем реально задолбали, думают что на общей эрудиции можно проехать даже там где они совсем ни в зуб ногой. Иногда такую дичь выдают что просто офигеть. А если такое тело проектом рулит - проекту, естественно, капец жестокий.
С образованием в совке было нормально (не считая иностранных языков). А то, что это образование не выливалось в практическую область, виновата идеология. Коммунизм. Экономика была подчинена идеологии, и всё - это тупик. То, что коммунизм в реальности невозможен в текущих условиях, знали даже его "девелоперы" (у дедушки Ленина в его сочинениях кстати все проблемы коммунизма подробно описаны, но никто нафиг не читал: сами поклонники коммунизма игнорили эту часть в надежде что "само как-то рассосётся", а не поклонники - не читали). У Китая, кстати, была точно такая же фигня, что и у СССР, пока не пришло пару (скажем так) реформаторов, которые отвязали экономику от идеологии. И тут же попёрло.
В СССР отвязали (точнее попытались) слишком недостаточно и слишком поздно.
Лишь бы что-то брякнуть, да?
Правильно, на что нам мозги, когда есть тупой сорказм.
А вот если у меня стоит редирект с https на http, хром не подавится моим сайтом?
Если кто не знал, то давно существует плагин HTTPS Everywhere. И появился ещё до HTTPS Only.
В том же стиме половина сайтов http онли. Была долгое-долгое время, когда уже везде был https. Поэтому были нужны правила для отключения https на части сайтов. Сегодня когда я пытаюсь зайти на http сайт (а такие есть) меня встречают аж 2 окна с предупреждениями, зачем это нужно?
Чтобы n-ное количество домохозяек случайно не подслушал товарищ майор.
Затем, чтобы ты вместе с сайтом майнер в браузер не получил. Например.
А как уязвимость получить майнер связана с http или https?
Затем, чтобы ты не настроил себе какую-нибудь pihole на роутере и не резал рекламу гугля на всех домашних устройствах для всех членов семьи сразу.
А как можно настроить блокировку рекламы на обычном роутере без его перепрошивки?
Посредством фиктивных DNS записей. (на роутерах, которые позволяют админить на них dns)
Есть роутеры, поддерживающие расширения против рекламы
Если кто не знал, то это уже есть в firefox
Ну в кой-то веки его можно удалить
Давно пора, только надо ещё жёстче без возможности конекта по http
А роутер свой как вы настраив ать собираетесь. Такие вещи везде по http делаются.
Сначала установить сертификат letencrypt или платный, а потом уже настраивать роутер
Сначала видимо предполагается купить домен, потому что на IP адрес сертификаты не продаются.
А чтобы купить домен или сертификат, нужно настроить роутер....
На публичные IP-адреса получить SSL-сертификат реально.
Lets encrypt? Технически это вполне возможно афаик, но не у них.
И будешь быстро-быстро пытаться первым зайти на роутер через белый айпи как admin/admin. Гениально.
> На публичные IP-адреса получить SSL-сертификат реально.У ненастроенного роутера публичного адреса нет. А даже если б и был - он где-то там, в WAN. А конектишься то ты к LAN. И порулить дают с LAN. Вообще, давать рулить с WAN очень так себе идея - придет к тебе потомок самурая^W mirai и порулит тебе как раз...
На публичные адреса есть сертификаты. Это жутчайший костыль, и валидация там непростая, но есть.
wildcard у LE получается через DNS Challenge, не нужен реальник, хоть за 10 натами сиди и получай
> wildcard у LE получается через DNS Challenge, не нужен реальник, хоть за
> 10 натами сиди и получайРасскажи как выглядит эта процедура? Вот ты, с ноутом, компом или смартом. Вот роутер, не настроенный еще. Поэтому сети наружу пока еще нет. Вот ты должен залогиниться в админку роутера. И после того как ты это настроишь, появится сеть.
Вопрос: как при этом сертификат получать? И на что?! Ведь сети нет, да и айпишник 192.168... нифига не уникальный. На что именно должен быть выписан серт? :)
Модные девайсы в Европах ныне идут с каким-нибудь публичным доменом вендора в качестве URL'а для конфигурации, и сертификатик уже залит. Другое дело, что прошивку если вовремя не обновлять - он протухнет-с, но если роутер берёшь у оператора - обычно этой проблемы не стоит, она обновится при первом входе в сеть.
Ну там руганется на самоподписанный, делов-то
Это сегодня руганется. А завтра полусваренным лягушкам вообще отключат возможность ходить на неподписанные.
Именно так и надо делать.
1. HTTPS по умолчанию, если не набрано иное
2. При наличии HTTPS не давать вообще возможности проигнорировать ошибку сертификата, без залезания в скрытые настройки браузера
3. http://, естественно, сохранить
> А роутер свой как вы настраив ать собираетесь. Такие вещи везде по http делаются.Вот в роутере-то как раз https-только фичу и стоило бы приделать. А то всюду Телнет и HTTP - роутер нудисткого пляжа... :)))
> Вот в роутере-то как раз https-только фичу и стоило бы приделать. А
> то всюду Телнет и HTTP - роутер нудисткого пляжа... :)))Ну так расскажи на что этот сертификат должен быть выдан. На 192.168.0.1 какой-нибудь? Блин, а он не уникальный, сосед тоже с таким адресом. И если любой серт катит как 192.168... - тогда от чего он, собственно, "защищает"? Ведь можно поставить хоть вообще совершенно левый девайс, а вы никакого подвоха не заметите и спокойно введете логины-пароли хоть вообще в вон тот кастомный девайс, который радостно это залоггит и сольет хакерам на радость. Более того - настройка роутера сначала. А сеть появится - потом!
Если с ssh это еще как-то решаемо, как раз тем фактом что там ключи никем не подписаны и примерно как с самоподписанным сертом, спрашивают доверять ли хосту c ключом XX:YY:ZZ:AA:BB.... - то все остальные варианты не особо и работают, а смысл в вон том варианте для именно веба с гулькин нос. В ssh то идентификатор хоста проверяется и неизвестных посылают в пень, предполагая что админ так менеджит относительно небольшое количество известных хостов. Но с вебом это не очень работает, там ходят на неопределенный круг сайтов и возможны злоупотребления типа подмены устройства на соседнее, которому морду нарисовали такую же - чтобы логин-пароль собрать. А потом можно порулить как белому человеку.
Предлагаю пойти еще дальше, и кроме авторизации сервера еще и требовать авторизацию клиента по сертификату. А то несправедливо получается.
Зачем, у большинства интернет по паспорту.
Можно на чужой взять.
Сделают биометрический.
Выкраду вместе с сетчаткой.
> у большинства интернет по паспорту.На россии, да
В других странах паспорт не обязателен. Сюрприз!
Блин да. Вот всегда поражает, не везде конечно.
Прилетаешь, хватаешь симку в автомате типа как с бутылочками для воды - а то и рядом с ними - или в ближайшем ларьке. Никаких лишних вопросов, только деньги. И нет - банковская карта не нужна, симка с предоплатой, если хочешь добавить - можно лишнюю карту оплаты купить. Бумажненькую.
В Германии, Франции, Бельгии, Испании - по паспорту.
В Дании, Швеции, Чехии, Финляндии, UK, Нидерландах - без паспорта.
В Бельгии кстати есть нюанс.
До 2016 - погуглите, что там в 2016 случилось - было без ID.
Если в ближайшую пару-тройку лет ничего нового не случится - скорее всего откатят назад.
Мне кажется - не откатят. Для государственной машины интернет по паспорту - большое благо. Любое ущемление прав человека - благо. И только сопротивление и критика граждан не дают любому (я подчеркиваю - любому, даже в самой демократической стране) государству эти права не отменять.Если за 4 года граждане еще ничего не сделали, чтобы ходить в интернет без паспорта, то уже и не сделают. Особенно на фоне массовых отмен естественных прав человека в связи с ковидом.
Ну логи пока заставляют через год стирать.
Если раньше сотрёшь - ну, если вдруг понадобятся - пальчиком погрозят.
А вот если не сотрёшь вовремя и кто-нибудь стукнет - могут и по попе настучать.
И это не только у них.
В нескольких европейских странах, которые впрямую касаются, такая же фигня.
Кабздец.Не знал. Удивился.
> Кабздец.Кабздец - это когда базы всех мастей и направлений можно купить на интернет-барахолке за 10 баксов. После чего заплативший знает о тебе больше чем ты сам. А потом начинаются приколы, когда болгарский Холмс может вычислить все вплоть до цвета трусов, не говоря про какую там еще геолокацию.
Извините, ДИТ москвы не так давно например профакал базы пропусков локдауна. А там немало интересного - как то типовые маршруты в паре с номерами авто и прочие лулзы. Правда так и толстых котов пощипали малость - ведь намного интереснее посмотреть чей это bmw или лексус такой красивый, ездил вон туда и вон туда. А заодно по соседней базе и сколько штрафов на нем подвисло, ведь остальные базы тоже проели.
Европейцы по крайней мере в курсе что не умеешь - не берись. Поэтому либо не имплементят подобные системы (вплоть до того что у некоторых незаконна даже езда с регистратором) либо серьезно относятся к безопасности и коррупции, и не получается так что админ устроил себе 13, 14, и 256-ю зарплаты слив жирный кус оптом. И попробовав купить такие данные на европейца можно почувствовать разницу...
А не напомнишь когда у нас начали еластиксерчи выставлять голой попой в интернет с сливом десятков миллионов финансовых данных? Ну в отличии от умного запада.
>> И попробовав купить такие данные на европейца можно почувствовать разницу...
> А не напомнишь когда у нас начали еластиксерчи выставлять голой попой в
> интернет с сливом десятков миллионов финансовых данных? Ну в отличии от умного запада.Смотрю, опеннетные эксперты неуклюже спрыгаивают с темы гособязателовки сбора данных и недостаточного регулирования сроков хранения на любимый "whatsabout", попадая прямо в лужу.
Весна, однако!> в открытый доступ попала база данных маркетинговой компании Exactis, включающая сведения практически обо всех взрослых жителях США. Причиной утечки стала ненадлежащая настройка серверного ПО - все данные хранились в СУБД ElasticSearch, доступ к которой не был ограничен для внешних сетевых запросов
>
Чьи логи и кто за этим следит?Можно подробнее?
Логи авторизаций пользователей например (связка юзера и IP).
Логи прохождения почтовых сообщений пользователей.
И т.п.
А ещё есть общеевропейский GDPR, по которому ушедший юзер может обязать тебя удалить всю информацию о нём.
Там те же логи авторизаций относятся к специально оговоренным, которые нужно при этом хранить, но через год ты их всё равно стираешь.
Брейвик случился,что непонятного.А в Новой Зеландии после 15.03.2019 ничем страшнее перочинного ножа владеть нельзя.
Да не, не Брейвик. В аэропорту там бахнуло.
А меня угораздило как раз после этого туда летать, там конечно тот ещё ад был визуально, в аэропорту на каждом шагу вооружённая автоматами полиция и армийские.
> На россии, даТ-щ майор, я кaклошпиона поймал!
> В других странах паспорт не обязателен. Сюрприз!
Угу, необязателен. В Тае, например, помимо паспорта надо еще и улыбнуться камере. Уж не знаю, только фарангу или местному тоже. В Индии улыбайся-не улыбайся, а отпечатки пальцев вот сюда давай.
В Гишпании лет десять назад тоже все было как-то непросто с кучей закорючек на пяти листах.
В Израиле - ну, понятно, адъ.
В поганой сшашке...тьфу, там и телефон придется покупать, в результате все о тебе все и так узнают (не, налом заплатить не получится, и с картой тоже может не сразу прокатить).
И что прикажите делать?Ломать wifi соседа?
> И что прикажите делать?Ломать wifi соседа?Ну, строгость законов, обычно, компенсируется... В конце-концов, из всей моей коллекции симок, только ланкийская честно оформлена на мой номер паспорта (прикол в том что это не туристская симка, и у меня ее вообще не должно было быть по местным правилам... эх... протухнет теперь, наверное, жалко)
Другое дело что для этого "места знать надо", и возможно именно эти места и происходящие из них симки как раз на особом контроле у товарищмайоров всех сортов и расцветок.
> симок, только ланкийская честно оформлена на мой номер паспорта (прикол в
> том что это не туристская симка, и у меня ее вообщеЫыыы. Даже заинтересовал, как получилось.
> В поганой сшашке...тьфу, там и телефон придется покупать, в результате все о
> тебе все и так узнают (не, налом заплатить не получится, и
> с картой тоже может не сразу прокатить).Нет в USA регистрации SIM-карт.
Другое дело что купить гостевую карту без контрактика сложновато (но можно) и обойдётся в копеечку.
Сложновато да - тут согласен - потому что сначала побегаешь поищещь ту, которая будет в диапазонах, на которые твой девайс зажат, работать. При покупке обязательно сначала просить проверить есть ли сеть, иначе купишь карты шрёдингера и будешь да, покупать к ней телефон.
> Сложновато да - тут согласен - потому что сначала побегаешь поищещь ту,
> которая будет в диапазонах, на которые твой девайс зажат, работать. При
> покупке обязательно сначала просить проверить есть ли сеть, иначе купишь карты
> шрёдингера и будешь да, покупать к ней телефон.Телефоны уже много лет как мультидиапазонные в массе своей.
Они мультидиапазонные, но конкретные участки диапазонов имеют региональный лок, к сожалению, который даже сменой прошивки может не сбиваться. С WiFi то же самое.
В том и дело, регистрации нет, но и карт на кассе тоже нет. Так что скорее всего купишь ты телефон (твой не работает, потому что нужных диапазонов возможно и вовсе нет), вместе с контрактом и прочими прелестями, и тут уже на тебя полное дело будет у сразу нескольких участников сравнительно законного бизнеса.И это радуйся еще что ты неместный. А то бы еще и на credit score попал.
Да они есть, просто задолбаешься искать. Проще всего купить карту вместе с телефоном.
Можно без контракта - но переплатишь раз в 10.
(ну ладно, не в десять, реальная цифра около 2.5)
С контрактом кстати не местному могут и не продать. Зависит от условий контракта и длительности пребывания.
Лайфхак на тему поиска - купить телефон без SIM, переплатив правда, с контрактом реально дешевле.
А потом купить любую бесконтрактную SIM. Будет уже попроще, потому что не надо будет пытать продавцов на тему "а дайте какую-нибудь SIM в моём китайце проверить".
> Можно без контракта - но переплатишь раз в 10.Ну так с контрактом видите ли с тебя отбивается на том факте что ты год или сколько там оплачиваешь довольно жирный тариф, а телефон залочен на конкретного оператора.
И да, есть немало умников делающих бизнес по <интернационально> ака залоши оператора: накупил так телефонов, смотался с ними, "не переплачивая", на контракт положил. И получилось что сотовый оператор проспонсировал красавцу телефоны. А он привез чумодан телефонов куда там, сшиб операторский лок, продал как новые нормальные телефоны.
Надеюсь это дает идею почему сотовые модемы в телефонах так повернуты на секурити. Операторы зело уж негодуют если вон тот номер прокатил, а бизнес довольно прибыльный, так что там довольно суровые хакеры над выносом операторских локов колдуют. Точнее они только разрабатывают решение, а его потом покупают всякие ремонтеры и прочие джамшуты в ларьке. И так с спонсорства оператора кормится целая толпа. Операторам это почему-то не нравится и они жмут на производителей "сделайте чтобы эти гады не сшибали лок!!!111"
Абсолютно так.
> В Израиле - ну, понятно, адъ.В Израиле кстати - внезапно - тоже нет регистрации SIM.
Паспорт могут попросить по не связанным причинам - могут даже при покупке хлебушка попросить.
Жисть такая
Ага, cool story Bro.
Чтобы потом не подключиться к какому-нибудь конфигуратору железки, внутреннему ресурсу на предприятии или к чему-то подобному.
Genius...
Кто мешает http:// руками донабрать?
> Кто мешает http:// руками донабрать?Никто, но прикол в том что он заменит на https.
Фурри заменит, уточняем. В фурри данная "фича" отключаема.
Ну или можно фурри выкинуть.
Ну вот раньше в хроме и по умолчанию не было, но локомотив прогресса уже запустили, он проехал - значит и гуглю можно, на самом малом ходу.А следом и автозаменялку встроим, лиха беда начало. Никуда рабы не денутся, прогнутся. Роутеры-шмоутеры у них видите ли не настраиваются... Будет приходить с роутером флэшечка с правильным сертификатом, установи его в браузер, и настраивай сколько хочешь.
А вообще нехрен всякими роутерами пользоваться, приличные провайдеры что в америках, что в европиях приходят со своим, и тебе его вообще настраивать не дадут.
Это шутка была или всерьёз?Если всерьёз то можно пруфов?С Чехии,например.
> Это шутка была или всерьёз?Если всерьёз то можно пруфов?С Чехии,например.Это криокамера - попытки еще лет 7-8 назад у _отдельных_ провайдеров были (зажимали логин/авторизацию, не давая ставить полностью свою технику),
но довольно быстро пошли коллективные запросы в суды и постановление "свободу роутерам!", а затем и соотв. закон (в неметчине с 1 августа 2016), обязующий провайдеров убрать "привязку".
Да и доступные настройки у провайдерских обычно вполне удовлетворяют "домашние" потребности.
> (зажимали логин/авторизацию, не давая ставить полностью свою технику),В смысле, зажимали данные для подключения к ISP/IP-телефона. Настройки вайфай и прочего локального (в рамках обыкновенного, куцего "консумерского" вебинтерфейса) никто вроде не запрещал.
> Это шутка была или всерьёз?Если всерьёз то можно пруфов?С Чехии,например.Ну я хер знает что там у чехов, дикари они и есть дикари-с.
А вот где ты купишь в ларьке dsl-модем, и как его вообще настраивать собираешься - я с интересом послушаю. У моего, например, что-то вроде трех вланов, только один из которых доступен для меня самого (тот, который собственно домашний интернет, его провайдер милостиво позволяет настраивать как хочешь, когда запутаешься и все себе поломаешь - он ресетнет настройки, у него для этого отдельный от твоего и интерфейс, и адресация, ты их даже не увидишь)
Отдельный вопрос- а и пустить тебя туда, у тебя квалификации-то хватит его настроить? Это ни разу не ehternet.Ну или gpon.
Во времена adsl такой красоты еще вот не было, юзвери действительно страдали. Ну а потом искали днем с огнем настройки vpi/vci.
Чтоб с ибеем не заморачиватся то можно купить здесь
https://aukro.cz/
А насчёт настройки...Терпенье и труд все перетрут)))
> А вот где ты купишь в ларьке dsl-модем, и как его вообщеADSL на самом деле до сих пор можно. И даже народ ещё пару раз в год просит, чтобы им сертифицированную прошивку залили. VDSL(2) кстати тоже можно, но в Европе лучше этого не делать, не зная, какие сертифицированы на той сети, куда включаешься. В лучшем случае останешься без векторинга на линии (то есть плакали большие мегабиты), в худшем - сеть вообще нафиг пошлёт.
> Во времена adsl такой красоты еще вот не было, юзвери действительно страдали.
> Ну а потом искали днем с огнем настройки vpi/vci.На самом деле TR-069 есть и в ADSL/VDSL модемах почти всех, просто здесь не особо применялся.
> Будет приходить с роутером флэшечка с правильным сертификатом, установи его в браузер, и настраивай сколько хочешь.Зоичем? Роутеры будут настраиваться с провайдера по TR-069, с готовым wildcard'ом под таковые, why not.
_провайдер_ как-нибудь осилит разрешить свой собственный сертификат, не переживай так. Ему трахаться с летшиткриптой в любом случае не придется.А вот купленный в китайском ларьке роутер - уже не каждый васян настроит - ведь браузер выведет ему ПУСТУЮ БЕЛУЮ СТРАНИЦУ с несколькими строчками неведомого бреда на непонятном собачьем языке по центру, ВОТ ТАКИМИ БУКВАМИ. И без кнопки "продолжить", разумеется.
> _провайдер_ как-нибудь осилит разрешить свой собственный сертификат, не переживай так.
> Ему трахаться с летшиткриптой в любом случае не придется.Ну мы и свои осиляем, и с летсшитом трахаемся - ради клиентов хостинга.
На роутеры залить серт тоже не проблема - как только, так на все и зальём. И DNS'очку приделаем.
Что же до купленных в ларьке роутеров - в наших например условиях это невозможно, не прошедшие сертификацию оконечки VDSL/GPON сеть не примет. Т.е. клиенты вместе с оконечкой получают и полноценный роутер, лишний нужен редко. А те, кому нужен - ну, те знают сами, с какой стороны их обхаживать.
А давайте будем ходить через https, чтобы провайдер не мог впихивать свою рекламу в трафик - но дадим ему полный доступ на роутер, чтобы он мог его настраивать для впихивания рекламы в трафик.Прекрасно, просто прекрасно. Анонимы берут новые интеллектуальные высоты.
> А давайте будем ходить через https, чтобы провайдер не мог впихивать свою
> рекламу в трафик - но дадим ему полный доступ на роутер,
> чтобы он мог его настраивать для впихивания рекламы в трафик.Не умеют эти роутеры трафик модифицировать.
NAT умеют разносортный. DHCP умеют. DNS умеют. Всякие бонжуры-говножуры умеют.
Телефонию умеют. Дополнительные вланы (гемы или вц, точнее) на порты умеют.
Самбочку на флешечку воткнутую умеют. Иногда торренты умеют. Даже DECT умеют некоторые.
А вот трафик менять как заблагорассудится - не умеют.
И сертифицируется это не одной стороной, причём конкретные ревизии фирмвари, поэтому так просто лишних умений насовать не выйдет.
Так и не надо ничего напрямую насовывать - достаточно прописать свой днс и прокси.
Вы ойчём?
Прописывание своего DNS и прокси внезапно HTTPS не раскрывает.
> Фурри заменит, уточняем.Они что, наркоманы?
IE6 спасёт отца русской демократии. Существуют же браузеры, которые не покушаются на вашу свободу.
> IE6 спасёт отца русской демократии. Существуют же браузеры, которые не покушаются на
> вашу свободу.Браузеры-то да, интернетов не существует для них.
Тут коллеги, доломав очередным автообновлением виртуалку с единственноверным набором софта, всерьез предложили на морду вмвари йешаком ходить. 11м, конечно, но все равно - она даже в целом открывалась, но вот консоль оттуда нормально запускать уже не получается.
Пришлось самому чинить, по дороге поназаблоировав нахрен все обновления всего. А то плагин для доступа к сторам уже не восстановить - нет такой комбинации софта где он работает.
Кто минусует Анонима?
Вы ж не поняли. Это ж у него сарказм!
А что если нет? Здесь всякое бывает.
> Давно пора, только надо ещё жёстче без возможности конекта по httpЯ пробовал в таком режиме сёрфить -- не готов ещё инет к https only.
Сделали строку поиска вместо поисковика домашней страницы и теперь героически борются с внезапно возникшими проблемами и неудобствами. Кстати.
Ну в деле порчи строки адреса переделкой её под строку поиска они ещё много чего недоваяли. Вообще им вместо строки адреса давно пора сделать кнопку "отправь нам донат и только потом ходи по сайтам, дурак". :-)
> Замена не ограничивается адресной строкой
> и работает также для сайтов явно открываемых
> по "http://", ...
> ... Если проброс на https://
> завершается таймаутом, пользователю
> показывается страница с ошибкой, на которой
> присутствует кнопка для выполнения запроса
> по "http://".Ну это вообще наглость!
Одно дело, когда браузер пытается угадать схему (http или https), если она пользователем не указана.
Но тут браузер нагло отказывается выполнять ясную команду пользователя, предписывающую браузеру получить ресурс по конкретному URL с http, но браузер не только не выполняет эту команду, но ещё и выполняет незапрошенные от него действия по получению левого ресурса через https. Да ещё и пишет, что не может открыть сайт, если он по левому адресу не доступен. Пользователь требует открыть сайт по http-адресу, а вместо сайта получает ошибку, хотя по указанному им адресу сайт доступен и работает.
Так эта функция включается и выключается в ФФ )))
ЛИЧНО ВАМ дается выбор, и если не включать то всё останется как прежде...
> Так эта функция включается и выключается в ФФ )))Хорошо, что пока ещё дают возможность отключать "фичу".
> ЛИЧНО ВАМ дается выбор, и если не включать
> то всё останется как прежде...А если попасть в число счастливчиков, которым Чром эту радость включит по умолчанию, то всё останется не как прежде, а сразу Чром начнёт игнорировать команды этих счастливчиков и вместо хттп ломиться туда, куда его ломитьсья ни разу не просят - на хттпс:
> В запланированном на 2 марта выпуске
> Chrome 89 указанная возможность
> будет включена по умолчанию для
> небольшого процента пользователейВот была халва. Радость они своим пользователям придумали. :-)
Это в фуррифоксе, их пути неисповедимы.
Это _пока_ оно только в фуфлофоксе. Когда-то и https без спроса тоже был только там.Просто гугль никуда не торопится, прежде чем взять все стадо - позволяет хвосту от лисы собрать всю ненависть пользователей, и заодно, потихоньку, приучить владельцев сайтов делать как надо гуглю, правой рукой.
мда, придется ставить норвежские сертификаты повсюду. Иначе куча линков просто не откроется вообще.
(У меня-то открываются - я-то доверяю своему наколенному CA. А васянам было не надо.)
Когда-то http:// (без s) уйдёт в прошлое.
Мощности и акселерация современных процов уже позволяют.
Может и к лучшему. С FTP вон сколько мучались, но там другая проблема - оно под SSL файрволы проходит только в PASV, что и не удивительно.
> Когда-то http:// (без s) уйдёт в прошлое.
> Мощности и акселерация современных процов уже позволяют.идиотизм разработчиков, сделавших насквозь дырявую by design блоатварь, еще и привязанную к "центрам" желающим о тебе лишнего знать - не позволяет.
> Может и к лучшему. С FTP вон сколько мучались, но там другая
> проблема - оно под SSL файрволы проходит только в PASV, чтонет. Проблема что за ДВАДЦАТЬ ЛЕТ никто не написал ни одного работоспособного клиента с поддержкой CCC. Я честно искал - хотел дать другим васянам, чтоб они беспалева качали свои файлики. Хер там ночевал.
Только русский (значит сразу нахрен) и тот криво (в некоторых случаях работает, в некоторых нет, причем файрвол, не файрвол - похрену, просто ошибка в примитивнейшем протоколе, в трех буквах запутался)> и не удивительно.
потому что белки-истерички не пользуются, а тем кто на самом деле пользуется - наcpaть.
> потому что белки-истерички не пользуются, а тем кто на самом деле пользуется - наcpaть.Да, отваживать от FTP-не-S было тяжко.
Но потом как-то мышление изменилось, и уже начали сами FTPS просить, а для желающих ещё и SFTP включили.
> Только русский (значит сразу нахрен) и тот криво (в некоторых случаях работает,Ну там сам протокол никогда чарсеты нормально не умел, их сверху накостылили, но серверы так толком долго научиться и не могли. То latin1, то вообще какой-нибудь чёрт лысый. Сейчас де факто стандартом стал UTF8, даже если сервер кодировок не понимает - обычно он просто пропускает как есть, а на подложке у файлухи именно он.
>> Только русский (значит сразу нахрен) и тот криво (в некоторых случаях работает,русский - это не про чарсеты. Это единственный клиент с кривой-косой,полуработающей но таки поддержкой CCC - писал русский. Видимо, ему есть чего скрывать.
http://lftp.yar.ru/
(уп-с, http ;-)Получилось нечто совершенно невменяемое и к тому же полуработающее. Все остальные и этого не могут.
А, чёрт, извиняй, я не сразу догнал что такое CCC.
Ну так логично что никто особо не дёрнулся - это уже костыль на костыле и костылём подогнанный.
> А, чёрт, извиняй, я не сразу догнал что такое CCC.
> Ну так логично что никто особо не дёрнулся - это уже костыльэто значительно более безопасный костыль, и к тому же - при правильной реализации - 100% работающий. А не "открыть все высокие порты наружу везде".
Разумеется, в 99.9% случаев и такое тоже совершенно излишне - вполне хватило бы защиты tls только логина, чтоб пароль не гонять клиртекстом. Но такого, увы, тоже нигде не предусмотрено.
Проще PASV юзать. Outbound порты ограничивать смысла нет, если где-то это требуется, проще сразу строить изолированную сеть.
На самом деле нет, логин мало защищать. Для логина хватило бы и CRAM-(your favourite hash there).
Там много где задница. Начиная с того, что данные плейнтекстом - это плохо, народ там этим добром всякие пароли на свои сайты заливает, например, @#$%дь... упираясь в отсутствие контроля целостности... когда вместо нужного файла может быть залита или слита лажа... и заканчивая тем, что сервер для передачи данных может быть подставной, и нет никакой проверки его валидности. SSL по сути решает все эти проблемы вместе с защитой аутентификации.
> На самом деле нет, логин мало защищать. Для логина хватило бы иты бы назвал уже наконец своего провайдера - чтоб мы от него держались подальше.
Повтояю - ты один такой неуч, который не умеет траблшутинг нормально, и снифит клиентские порты.
Нормальные операторы этим не занимаются - сложно, неудобно, можно положить других клиентов и, главное, они все же инженеров чему-то учили, а не васянов-самоучек наняли, те умеют без нахер ненужной самодеятельности.> Там много где задница. Начиная с того, что данные плейнтекстом - это
> плохо, народ там этим добром всякие пароли на свои сайты заливает,выцепить непонятно что непонятно когда в непонятно каком траффике на непонятно какой минуте, и непонятно даже от какого сервиса пароли, чаще всего нахрен ненужные никому - можешь заказать на мое имя по своей карте доставку собачьих консервов, если весь этот квест осуществишь - значительно сложнее, чем перехватить начало сессии с паролем, вот оно у всех почти одинаковое и долго искать не надо.
А никакого срань-md5 в обычном ftp, к сожалению, нет. ни в клиенте, ни в сервере.
Я-то пользуюсь opie key, но обычному пользователю это не объяснишь. Да и безопасность тоже сомнительна, код никто не смотрит уже двадцать лет, а он там так себе.> например, @#$%дь... упираясь в отсутствие контроля целостности... когда вместо нужного
я могу и посчитать md5, если там что-то особо ценное или особо большое, но если он не сойдется - следующим ходом будет смена провайдера. Мне в общем неинтересно, он данные чисто случайно портит, или намеренно.
> файла может быть залита или слита лажа... и заканчивая тем, что
> сервер для передачи данных может быть подставной, и нет никакой проверкине может. Инженеры провайдеров, ворующие траффик клиентов, обладают для этого слишком низкой квалификацией. А нормальным не до того, всех посокращали, работать некому. Я вон пять минут работы тетки, которая одна ответственная за весь мегафон от Питера до Калининграда, дожидался несколько дней. Когда ей там еще и вредительством заниматься? Да и физически она наверняка в офисе,а не у стоек прикована, туда траффик не заедет.
> его валидности. SSL по сути решает все эти проблемы вместе с
ssl по сути никакой вообще проблемы не решает, только создает миллион новых, уже недоступных пользователю для полного понимания и принятия правильных мер вместо истерик. Потому что блоатварь дырявая by design.
Но это сравнительно дешевый и сравнительно надежный способ прикрыть именно аутентификацию. Казалось бы. Но нет, даже этого не осилили.
> Повтояю - ты один такой неуч, который не умеет траблшутинг нормально, и снифит клиентские порты.Нормальные операторы этим не занимаются - сложно, неудобно, можно положить других клиентов и, главное, они все же инженеров чему-то учили, а не васянов-самоучек наняли, те умеют без нахер ненужной самодеятельности.
Ты поработай в ISP среде, ну хотя бы годиков 5, много нового для себя откроешь.
И желательно инженером не на техсаппорте, а где-нибудь на эксплуатации хотя бы (не на линейной, конечно же, на сервисной части).
Единственный способ решить проблему при некооперативном клиенте, который даже пинг сделать толком не умеет - это выезд техника. Но техники по квалификации тоже обычно так себе, и поэтому нетипичные проблемы решаются анализом трафика. Иногда в итоге находится забавное: что оказывается замечательная фирмварь роутера пропускает в отдельный влан всё, кроме запросов на DNS SOA. А DNS SOA при этом благополучно дропает, не закидывая никуда. Это самый простой вспоминаемый случай, бывало и интереснее.
Ещё интереснее было искажение битой платой транзитного оператора пакетов UDP, примерно одного из 1000. Причём с правильным пересчётом контрольной суммы. Транзит не верил до момента, пока ему не прислали дампы трафика с двух сторон. После чего заменил плату и всё встало на места.
> Ещё интереснее было искажение битой платой транзитного оператора пакетов UDP, примерно
> одного из 1000. Причём с правильным пересчётом контрольной суммы. Транзит не
> верил до момента, пока ему не прислали дампы трафика с двух
> сторон. После чего заменил плату и всё встало на места.я ему лог с Ftb прислал бы. Вот настройки, вот количество ошибок - и что оно там у него "пересчитывает" - глубоко похрену, я не нанимался искать его дефективные платы.
Отдельно интересно сколько времени ты убил на наколеночную конструкцию, умеющую вот так сравнивать дампы разных систем.
И не сказки ли ты рассказываешь. Потому что мне заменить плату без цискиного участия - я хз что надо сделать, ее на базаре не продают, и в ларьке тоже не продают. А циска сказку с дампами какого-то васяна через еще тыщу устройств подключенного вряд ли будет слушать.
Максимум я мог бы такого клиента в другой порт переткнуть, правда, не факт что не той же платы. Второй может и не быть в принципе.
Циска не только сказки с дампами слушает - TAC ещё сам дампы снимать может в зело крайних случаях - с разрешения, естественно, когда проблема на стенде не воспроизводится. Только зело технологические. Там и данные, и много дебага от железа. Это к слову.Но в той проблема не циска участвовала.
Глубоко похрену - это хорошо, но в ответ ты получишь "нам тоже по хрену, у нас проблем нет, ищите у себя" от каждого второго оператора. И придётся таки ковырять. Но тут тоже не то. Тут проблема была такая, что мы сами до конца не верили - но всё сходилось к тому, что есть битовые искажения в транзите при нормальной чексумме - что показалось бредом сначала. Только когда поставили специфичный генератор трафика с другой стороны и задампили пачкой то, что получаем - сначала самим пришлось поверить. Потом начать пинать транзит.
Порт транзит кстати первым делом нам поменял, не помогло.
Дерьмо там было следующее: если некий хеш UDP-пакета представляет ровно одну из 1024 (как мы поняли) возможных комбинаций - повреждается два бита в этом пакете в неком случайном месте. Не флип, просто рандомное повреждение. То есть большинство трафика идёт нормально, но вот определённые пакетики бьются. Заметили на DNS - ресолв конкретных редких хостов с определённых ОС не работал, и на телефонии.
Проблема в том, что в такую сказку поверить ОЧЕНЬ сложно. Поэтому транзит до конца упирался. Сменил порт. Подождал. Получив очередную пачку матюгов - ну вот же дампы, мать вашу - видимо проверил сам. Написал что плата заменена, извиняйте, не сразу оценили.
> Проблема в том, что в такую сказку поверить ОЧЕНЬ сложно.поэтому и ненужно
Повторю,как обычно решают такие проблемы вменяемые люди: выдирают патчи из портов, втыкают с одной стороны - генератор, с другой петлю. И предъявляют - вот рандомный траффик отсюда сюда, вот количество ошибок, все наше оборудование мы - устранили на время теста.
Все.А как там дальше на ушах будет стоять этот оператор - поменяет порт,целиком железку, привлечет вендора- мне уже совершенно будет неинтересно.
Угу. Сразу видно матёрого E1-щика (это не шпилька, я сам оттуда). Реальную петлю в L2VPN у нас один товарищ по такой привычке додумался воткнуть. В итоге легла целиком пачка этих L2VPN, потому что у транзита сработало обнаружение петель, и положило физические порты с двух сторон.Воткнуть генератор IP-трафика и ответку к нему - вариант, но описанную проблему обычным генератором паттернов ты вообще не покажешь.
Почему?
Потому, что на рандомных пакетах у тебя число потерь будет в пределах статистической погрешности. Там всегда повреждались _определённого содержания_ пакеты, а с генератором произвольных пакетов проблемы у тебя видно толком не будет. И хорошо ещё если твой генератор делает собственную сверку содержимого, а не полагается на UDP checksum.
> потому что у транзита сработало обнаружение петельну тут я даже не знаю кто глупее - транзит с обнаружением петель, или лох втыкающий их в васянские l2vpn не сообразив отключить spanning tree, который на стыках всегда надо блокировать.
Но у меня в качестве тестовой "петли" были bv10 - и вот они-то, вместо васянских спанов через всю магистраль, были заложены в дизайн сети с самого начала, как и периодические тесты магистралей. И нет, наличие хотя бы одной ошибки (а не просто потеря пакетов) - это повод трясти до посинения.
Не должно их быть на современных сетях в принципе.
Знаешь как для нас выглядели два изначальных описания проблемы?
1) У нас в разговорах есть хорошо заметные иррегулярные щелчки
2) У нас определённые домены не резолвятся, на каждой машине разныеНа первой проблеме как раз и поставили генератор. Генератор сказал, что всё нормально, и потери в пределах погрешности, не должно никаких частых щелчков быть. Попинали транзита. Тот естественно "у нас всё ок, жалоб нет".
Понять, что что-то не так, позволила вторая проблема: сначала попросили поставить гуглоDNS.
О. Зарезолвилось. Через день звонок: бл***, другие не резолвятся. Поставили снова наши. Сняли дамп :D (!), и не сразу, но увидели, что в пакете задница - он некорректно сформирован. На два бита.
Заставили клиента снять дамп с той стороны. Там всё нормально. Поменяли оконечку. Ничего не изменилось. Взяли другую машину. То же самое, но с другими доменами. Вот тут уже заподозрили неладное. Дальше техник с софтом, резолв пачки доменов вида 1.xxx.yyy 2.xxx.yyy, 3.xxx.yyy, снятые техником дампы, показывающие, что определённые запросы приходят в искажённом виде, и далее уже пинки в сторону транзита.
> Знаешь как для нас выглядели два изначальных описания проблемы?
> 1) У нас в разговорах есть хорошо заметные иррегулярные щелчкив общем-то, вполне очевидно, дальше уже можно не смотреть, совершенно типовая история, необычно только что не замена васянского роутера все лечит. Хуже было бы если бы разговор просто обрывался/уходил в одностороннюю слышимость, что тоже вполне может быть, и может быть вызвано целой прорвой других причин. Кстати, вы не шифруете rtp потоки, ай-ай-яй. И это в стране где все васяны норовят тырить траффик клиентов!
> На первой проблеме как раз и поставили генератор. Генератор сказал, что всё
> нормально, и потери в пределах погрешности, не должно никаких частых щелчковпотери и ошибки - разные вещи. Потери иногда допустимы (чаще нет, поскольку с чего, собственно, мы что - канал арендовали оверсабскрайбнутый?), битые пакеты нет. Для щелчка одного пакета вполне достаточно.
> в общем-то, вполне очевидно, дальше уже можно не смотреть, совершенно типовая история,И я о том :D Совершенно типовая история с совершенно нетиповым финалом.
> Кстати, вы не шифруете rtp потоки, ай-ай-яй. И это в стране
Хотя это никак не следует из описания - да, RTP мы не шифруем, факт.
Тем, кто хочет шифрование, мы делаем IPSec до оконечки.
Про "никак не следует из описания" - беру свои слова назад, прикинул, что бы было с SRTP, да, следует.
> И я о том :D Совершенно типовая история с совершенно нетиповым финалом.С совершенно типовым - просто я никогда не спрашиваю васянов, что они там меняли. Они все равно делали это панически и хаотично и что помогло - сами не знают.
Могут плату, может порт, могут маршрут через вообще другой город, мне неинтересно.> Хотя это никак не следует из описания
следует. Попробуй завернуть поток в ipsec и портить один фрейм из 1000, раз у тебя лишнего серверного железа с терафлопсами мощности дофига, это не займет много времени. Или, еще смешнее, использовать таки rtps, если есть на чем.
Дурачок, я там проработал годиков пятнадцать. И проектировал в том числе. Ну, правда, не в подобных твоему совсем уж помойных подвалах.Нету у меня никаких спанов, и не было никогда. Сормовские не в счет. Потому что они совершенно бесполезны и чаще всего вообще неоткуда и некуда спанить (успехов тебе с 4g, где до epc - бесполезный мусор, а после - не разгрести). Мальчик-побегайчик с ноутбуком (чаще он с ftb бегает) - да, есть, но дальше пинга обычно дело не идет.
И времени у меня не то чтоб на это особо есть.
"фирмварь роутера пропускает в отдельный влан всё, кроме запросов на DNS SOA" - это просто перл. Скорее всего означающий что нихрена ты не понял ни причину, ни какое из твоих судорожных телодвижений ее устранило.Впрочем, в наши задачи это и не входит - роутеры нестандартных технологий наши, проверенные, на базаре такие все равно не продают, а если там ethernet - клиенту просто предъявляют его мимо его собственных построений, подключив напрямую к порту, и оставляют расхлебывать проблемы своего админа-васяна самостоятельно.
Забавные проблемы типа глюков радиомоста никаким "спаном" ты не решишь все равно.
> - это просто перл. Скорее всего означающий что нихрена ты не
> понял ни причину, ни какое из твоих судорожных телодвижений ее устранило.Устранило её обновление фирмвари разработчиком таковой. Которому сунули в нос все нужные логи.
Впрочем вижу, что аргументы кончились, начались личности. Поэтому пох.
> Забавные проблемы типа глюков радиомоста никаким "спаном" ты не решишь все равно.Радиомосты - речь надеюсь об опсосе? Потому что если нет - то элитный колхоз как раз в другом месте неможно.
> Устранило её обновление фирмвари разработчиком таковой.я и говорю - судорожные телодвижения без малейшего понимания что на самом деле случилось.
Главное надувать щеки и выглядеть убедительным - "наш анализ траффика показал...">> Забавные проблемы типа глюков радиомоста никаким "спаном" ты не решишь все равно.
> Радиомосты - речь надеюсь об опсосе?внезапно, пофигу. Более того, ты даже и не будешь знать, что в арендованном тобой канале есть такой участок.
> внезапно, пофигу. Более того, ты даже и не будешь знать, что в
> арендованном тобой канале есть такой участок.На L2VPN нам и фиолетово собственно. Если параметры соответствуют.
А там, где не L2VPN, там DWDM и под ним тёмные волокна, никаких радиомостов быть не может, потому что.
И вот тут как раз анализ состояния канала, если что случилось, превращается в анализ трафика, на L2VPN других вариантов нет. Для анализа состояния канала достаточно BFD, но с проблемами это уже мимо.
Ну и у меня немножко другого плана сложности - чтобы ребят например на транзитный узел в Финляндии отправить - приходилось с местными военными - нет, это не шутка - доступ согласовывать. Поэтому очень много этих сложностей решается именно роутерным компонентом, делать на каждый мелкий транзит, которых сотни, отдельные оптические отводы - я сам себе не враг.
(и это не говоря о том, что местами его делать некуда, транзиты L2VPN)
"писал русский. Видимо, ему есть чего скрывать."
Ага, а писал бы французский, китайский или американский, то не было бы что скрывать, ага. "By design".
> "писал русский. Видимо, ему есть чего скрывать."
> Ага, а писал бы французский, китайский или американскийда вот не написал, ни французский, ни американский. То ли им скрывать нечего, то ли лыжи не едут, то ли у всех тогда были белые ip без пакетных фильтров хотя бы на вход, а сегодня http (непременнейше /3) и им не надо.
Причем во всех вменяемых серверах поддержка имеется (ну потому что и делать для нее ничего не надо). Клиентов - вот ровно ноль.
Вот да, одно из неприятных решений, которые есть именно в современном софте. А вообще - нужна какая-то форма шифрования соединения с сайтами, но без сертификатов (полубезопасная) и какая-то форма может быть сети доверия.
> Вот да, одно из неприятных решений, которые есть именно в современном софте.
> А вообще - нужна какая-то форма шифрования соединения с сайтами, но
> без сертификатов (полубезопасная) и какая-то форма может быть сети доверия.Думаю, что форма шифрования должна быть такой, какую командует установить хозяин компьютера, а не разработчики браузеров. Захотел хозяин вообще не шифроваться - такова его воля (ибо может быть он не шизофреник ни разу и скрываться ни от кого не желает). Захотел шифроваться - шифруйте, хоть обшифруйтесь. :-)
> Вот да, одно из неприятных решений, которые есть именно в современном софте.
> А вообще - нужна какая-то форма шифрования соединения с сайтами, но
> без сертификатов (полубезопасная) и какая-то форма может быть сети доверия.сертификаты сами по себе - вполне нормальное решение (не считая формата и протокола, оба как нарочно для товарищмайоров)
Ненормальное - то что с ними делают уроды разработчики браузеров. То ли тоже под дудку майоров, то ли просто начисто лишенные мозгов. Но что-то вывих мозга у них подозрительно в одну сторону. Точно не от дубинки ли это след?
Ну вот назовите мне хоть одну программу, выводяющую пользователю (причем вот наит...пейшему, это программа буквально для домохозяек) бессмысленные коды внутренних ошибок какой-то левой библиотеки, это вообще, блжад, как додуматься-то можно было? Или просто не выводить вообще никаких.
И объясните, как такая чушь стала не просто нормой, а _обязательной_ в абсолютно _всех_ браузерах. Казалось бы, совершенно разными людьми разработанных. Некоторые из них даже когда-то умели выводить человекочитаемые сообщения об ошибках.
Опять?
Для этого придумали же специальную SVCB/HTTPS DNS запись и Яблоки уже активно запрашивают её!
> Для этого придумали же специальную SVCB/HTTPS DNS запись и Яблоки уже активно
> запрашивают её!вообще-то ее придумали чтобы потихому подменить тебе домен, без палева в адресной строке, но белки и это схавают.
Зато бебебебебезопастно!
Чем оно опасней замены других записей? единственное, из-за того что может заменять A/AAAA, незнающие могут не заметить подмену.
Инновации!
Погодите, а почему это новость?
"Замена не ограничивается адресной строкой и работает также для сайтов явно открываемых по "http://", а также при загрузке ресурсов внутри страницы."Гугл в своем духе - просто решит за вас и все. Конечно подобное реализуемо в ФФ, но - добровольно.
Эта цитата относится к плагину "HTTPS Only"
В первых рядах человек правильные мысли сказал про ваш https, но его зачем-то заминусовали. Опен нет
Может потому и заминусовали что он чушь сказал?
> Опен нетНу да, сборище белок-истеричек - ААААА, за нами СЛЕДЯТ!
А что "во первых, об этом уже знаю я, во-вторых, конечно же об этом будет знать китаец..." в беличий черепок не помещается.Эй, але - на впопеннете есть логи, представляете?! И баннеры тоже есть (более того, мегафон пихает свои ровно место местных - так что совершенно ничего и не портил). И гуглеанал! Вас всех уже сто раз посчитали.
Нет, umatrix всё режет.
> Нет, umatrix всё режет.тогда ты, увы, и мегафоновские не увидел бы.
> тогда ты, увы, и мегафоновские не увидел бы.Увидеть их, видите ли удовольствие ниже среднего - один неудачный клик и ты облегчил счет на пару баксов, за ту фоточку котят, тебе жалко чтоли?! Премиум контент и ниипет!
Чем чревато использование браузера links в современном интернете?
> Чем чревато использование браузера links в современном интернете?пустым экраном.
Глобальная слежка вообще фиолетова. Если из дома выходишь - уже попал под наблюдение.
То же самое логи любых ресурсов практически. Зашёл на ресурс - уже осел в логах.
Это пофиг. Прелесть HTTPS в том, что любому васяну (а сотрудники провайдеров бывают далеко не ангелами, да и даже без провайдеров возможность чтения трафика с медных линий без вторжения в линию давно уже далеко не новость) чтение и модификация проходящего трафика становится затеей дороговатой.
> Это пофиг. Прелесть HTTPS в том, что любому васяну (а сотрудники провайдеровНу вот и демонстративный выход белки-истерички, бть...
Реальная слежка от тех кто МОЖЕТ (иногда и хочет) тебя за лайк посадить на бутылочку (кстати, мог бы и подделать от тебя нужный лайк, только ему не надо - ты с бутылочки сам свою мобилку ему разлочишь, и лайк он честно с нее поставит куда надо для галочек) - поxepy, вот сотрудника провайдера надо бояццабояццабояцца.
Тебе не приходит в голову, что у сотрудника провайдера a) дохрена вообще-то работы b) возникнут очень большие проблемы с поиском новой c) он там не один и d) ты ему нахер не нужен?
> бывают далеко не ангелами, да и даже без провайдеров возможность чтения
> трафика с медных линий без вторжения в линию давно уже далекобезусловно твой сосед-васян за тобой следит (у него ж дохера денег на оборудование "чтения с медных линий", и продается в ближайшем ларьке оно)! ОН УВИДИТ каких неправильных котиков ты смотришь! Впрочем, с модным gpon и так все видно, и супероборудование не нужно, правда, в ларьке все равно не продают такое.
> не новость) чтение и модификация проходящего трафика становится затеей дороговатой.
да сресетить тебе пару раз сессию - наверняка подумаешь что "блжад, опять какой-то tls1.4 вместо 1.3 придумали, давно я что-то браузер не обновлял, целых пятнадцать минут - пойду чтоль по http проверю, вдруг откроется... о, открылся!"
> вот сотрудника провайдера надо бояццабояццабояцца.А вот намедни, такого вот сотрудничка поймали... содержимое пользовательских ящиков Яндекса продавал налево.
То есть и нашли такого, и заинтересовали...Причем не те кто с бутылочкой, а совсем иные.. просто с денюжкой... у которых к тебе интерес может быть гораздо интереснее бутылочки :)
> А вот намедни, такого вот сотрудничка поймали... содержимое пользовательских ящиков Яндексамальчик, ты совсем дурак? Это ни разу не провайдер, и НИЧЕМ твой гуаноящик твой распрекрасный https не защитит от такого. Вот вообще.
Именно об этом тебе и талдычут. Эта почта вообще могла и скорее всего в куче мест ходила незащищенным smtp, слишком много развелось идиотов, требующих там за каким-то лешим валидных сертификатов. И никто ее не смотрел - потому что зачем, когда она вот, удобно посортированная лежит прямо в ящике. А не летит в канале вместе с еще 40 гигабитами порнухи, откуда ты заманаешься ее выковыривать и сделать это незаметно (в отличие от чтения почтового ящика) хрен у тебя выйдет.
Стиль речи говорит сам за себя... :) Интеллект...Ты же говорил о сотрудниках, которых надо бояться и которых ненадо бояться . и я говорю о сотрудниках..которых надо бояться... бояться надо не тех кто с бутылочкой, а тех кто сидит у провайдера и втихаря твой трафик фильтрует.. и даже без ведома начальства..
> Стиль речи говорит сам за себя... :) Интеллект...извини, пытаюсь соответствовать твоему уровню, но все равно так глубоко спуститься не выходит.
> Ты же говорил о сотрудниках, которых надо бояться и которых ненадо бояться
> . и я говорю о сотрудниках..которых надо бояться... бояться надо несотрудника с доступом сразу к твоему почтовому ящику, которому он по работе положен - надо. Его, в конце-концов, могут и официально попросить. И ему это совершенно несложно - он по работе именно этим и занят.
Сотрудника, который просто предоставляет тебе канал - глупо. Ему и не до того, у него работа совершенно в другом заключается, и незачем, и просто сложно и неудобно за тобой-васяном гоняться. А в более-менее крупной лавке он и просто не знает ни где ты, ни что ты такое. А те кто знают - доступа к каналам не имеют. Они тебя только отключить могут, галкой в биллинге. Галки "посмотреть твой траффик" у них нет.
Вот у товарищмайора, кстати, есть доступ разом и в биллинг, и в канал, и к почтовому ящику хернядекса, кстати, тоже, теперь включая и то что ты думаешь что давно оттуда удалил. Но тебя это совершенно ведь не беспокоит?
> Ну вот и демонстративный выход белки-истерички, бть...Я просто в этой среде очень много лет работаю.
> Тебе не приходит в голову, что у сотрудника провайдера a) дохрена вообще-то
> работы b) возникнут очень большие проблемы с поиском новой c) он
> там не один и d) ты ему нахер не нужен?Э. Не обобщай. Всякое бывало. Бывают например "сотрудники", которые за этим и приходят "на раз". С невинным видом.
> да сресетить тебе пару раз сессию - наверняка подумаешь что "блжад, опять
> какой-то tls1.4 вместо 1.3 придумали, давно я что-то браузер не обновлял,
> целых пятнадцать минут - пойду чтоль по http проверю, вдруг откроется...
> о, открылся!"Сисьчас. В последнее время при любой ошибке сертификата просто шлю нафиг.
Ну это личная параноя, да.
И да, TLS 1.x с секурным HELO я жду больше всех, наверное :D
Меня вообще ещё с начала SNI коробит от того, что HELO плейнтекстом домен шлёт, это ахтунг какой-то.
Звиняй, HELLO, а не HELO.
SMTP почему-то в голове сидит.
> И да, TLS 1.x с секурным HELO я жду больше всех, наверноеНу да, возможности отключить нахрен ненужный sni, похоже, ждать не приходится.
> Э. Не обобщай. Всякое бывало. Бывают например "сотрудники", которые за этим и
> приходят "на раз". С невинным видом.В Чехии?
Угу-угу.
Я вот не могу себе представить правдоподобную легенду, которую такой сотрудник и в ресурсии-то будет коллегам потом рассказывать - когда им придет письмо с изменениями конфигов на целой пачке устройств, не всегда безобидных. Отдельный вопрос - это кем надо быть чтоб тебе доверили доступы туда, и при этом "за этим придти на раз". Учитывая что количество задаваемых вопросов весьма немало.
> Сисьчас. В последнее время при любой ошибке сертификата просто шлю нафиг.
интересная у тебя жизнь...
Ты точно в Чехии, а не в Чечне?
> с изменениями конфигов на целой пачке устройств, не всегда безобидных. ОтдельныйНе надо менять конфиги на целой пачке устройств, в этом-то и дело.
Достаточно безобидной диагностики проблемы какого-нибудь абонента, при которой надо выполнить слив трафика на одном из портов концентратора. Концентраторное железо увы до сих пор унылое, очень часто span-сессию можно только с физики поднять, с субинтерфейсов никак. Хотя в последнее время делают уже повменяемее.
>> с изменениями конфигов на целой пачке устройств, не всегда безобидных. Отдельный
> Не надо менять конфиги на целой пачке устройств, в этом-то и дело.
> Достаточно безобидной диагностики проблемы какого-нибудь абонента, при которой надо выполнить
> слив трафика на одном из портов концентратора. Концентраторное железо увы доя бы за такую диагностику сдавал полицаям. Мне за всю жизнь подобная "диагностика" почему-то ни разу не была нужна - что я делаю не так? А когда у тебя на магистрали что-то отвалится - ты ее тоже спаном полезешь диагностировать, все 40 или сколько там гигабит?
Чтобы вытащить траффик с клиентского концентратора - это вообще уму непостижимо. Потому что в дальние жопеня ради этого васяна я не поеду (да и не пустит меня никто, туда только техников пускают, и то после предварительных ласк владельцу помещения), а пробросить этот спан через десяток устройств по дороге - ну опять же в целом за подобную операцию яйца надо сразу отрывать, неважно уже, вызвана она добрыми намерениями или нет.
Я бы мог бы, наверное, как-то попытаться его выцепить на сормовском сплите (и да, там настоящий такой оптический сплит, а ни разу не "спан"), но у меня, в отличие от товарищмайоров, нет доступа к железке, аналогичной самому сорму, а то, до чего я смогу оттуда дотянуться, скорее всего ляжет сразу же даже если туда только часть траффика заглянет на огонек.
Это не говоря уже о том, сколько человек там могли вообще трогать конфиги сормовского контура и какие недоуменные вопросы бы от них посыпались, если бы они увидели изменения.
В давней истории - ну, сдавали, а толку. Доказать очень сложно.
Спаны на больших сетях везде заранее сделаны, достаточно включить.
Вот кстати счастье, что никаких СОРМов в Европах нет. Пока нет, тьфу-тьфу.
> В давней истории - ну, сдавали, а толку. Доказать очень сложно.работы у чувака - скорее всего не будет, кроме как дворником. Вот и толк.
> Спаны на больших сетях везде заранее сделаны, достаточно включить.
У меня нигде не были сделаны. Как ты думаешь, почему? Правильно - потому что они мне нахер не нужны. Да и лишней пропускной способности там обычно нет.
Ну да, ну да, я в совсем уж подвальных не работал, где единственный свитч в том же подвале где и горе-инженер самоучка прикован.
> Вот кстати счастье, что никаких СОРМов в Европах нет. Пока нет, тьфу-тьфу.
повторяю для бестолковых: у неподвального провайдера, не в заштатном городишке карликовой европейской страны, там пассивные сплиты. По другому такой поток не перехватить, лопнет твой "спан".
Как-то подлезть в эту систему можно, наверное, я не пробовал, мне это нахрен не нужно, а устроено там было все не очень просто. Но вот что дальше делать - совершенно непонятно. Ну могу вместо сорма (что уже палево, за его работоспособностью следят, как выяснилось) в другие порты (насчет вместе - не уверен что не лопнет), попутно придет уведомление всем что я там лазил - а дальше что?
Не лопнет, поверь :)
Пассивные сплиты и всё прочее давно в прошлое отошли. Магистральные порты спокойно позволяют 10G спана пробросить и принять, а исходящие _концентрационные_ порты всё равно 10G, выше смысла нет по разным соображениям.
> Не лопнет, поверь :)
> Пассивные сплиты и всё прочее давно в прошлое отошли. Магистральные порты спокойно
> позволяют 10G спана пробросить и принятьтам _четыре_ таких порта в одной только заштатной Самаре. Потому что линки принято дублировать, да и архитектурные фокусы есть. И вообще-то мы планировали переходить на 40 по всем основным стыкам, отчасти из-за сорма как раз задержали этот переход.
А вот лишних 10G на дотянуть их до моего стола - у меня ни разу не нашлось бы. А на столе не нашлось бы чем разобрать. Не говоря уже о куче вопросов которые уже не то что коллеги, а и соседние отделы бы задали, увидев эти 10 на магистрали, где их до этого не было.
У других федеральных операторов все примерно такое же, или еще страшнее из-за всякой legacy хери.
У ростелекома есть всякие васяны, прикованные прямо рядом со свитчом с того 2008го когда он там поставлен, и они, наверное, могли бы чего-то тырить, их вообще не кормят. Но не могут, потому что надсмотрщик кнутом херак-херак, им не до того вообще.
> А вот лишних 10G на дотянуть их до моего стола - у меня ни разу не нашлось быА у меня есть :) И чем разобрать есть :)
Не до стола, конечно. До сервера, который разберёт.
Больше 10G никто не разбирает, конечно, повторюсь, на концентрационных портах 10G практически предел.
Сборки LACP из таковых бывают, да.Но суть то не в этом. Суть в том, что механизм съёма трафика существует.
В больших окружениях васян получит (морально) лопатой по голове за такое, да.
Но в ближайших домовых рогах и копытах возможность съёма трафика неиллюзорна.
>> А вот лишних 10G на дотянуть их до моего стола - у меня ни разу не нашлось бы
> А у меня есть :) И чем разобрать есть :)
> Не до стола, конечно. До сервера, который разберёт.ну вот я поэтому и интересуюсь. У меня вот не было, нигде.
Сервер сетевому инженеру не положено. Ими другие отделы занимаются, чтоб там что-то выклянчить - надо объснять, зачем приспичило (и скорее всего ответят - "такого - свободного нет"). Коммутации на этот сервер - отдельные люди делают. И если попросить их кинуть опту с сормовского свитча - немножко удивятся. К тому же он в отдельной стойке, а это уже межстоечные кроссы, к ним вообще особое отношение, их не бесконечно, и каждый учтен.Ну и при этом всем- доступные мне сервера не потянут 10G в принципе. То есть последнее, что я там увижу - это перевод строки после tcpdump...
Гигабит мы разбирали (тоже без особого смысла и успеха, но там мы не сеть отлаживать пытались таким бредовым методом) методом tcpdump - заранее, спан активировать после (тут сервер теряет управление, нахрен), через пару минут - вырубить. Тут управление возвращается и можно этому tcpdump ctrl-c нажать. Что он при этом успевает записать - хз.
И да, погоди, мы о каких-то разных портах говорим.
Я про концентрационные порты, куда абоненты с районов (страны, города) стекаются напрямую.
Не об агрегации и не о магистрали, естественно.
> И да, погоди, мы о каких-то разных портах говорим.
> Я про концентрационные порты, куда абоненты с районов (страны, города) стекаются напрямую.ну и хер ли толку? Этот порт где-то в е6енево-товарном. Закрыто на огромный ржавый замок и попасть туда даже те кому положено не могут, не отлизав пару недель владельцу замка где-то там же. Но за них я спокоен, они по крышам классно лазают, а траффик твой стырить у них квалификации не хватило бы, даже если бы они доступы имели.
Ну и это тоже уже в далеком прошлом было - сейчас там mpls, его вообще бесполезно разгребать. Я тебе могу туда спан донести (хотя не факт что мне есть что спанить, если у клиента dsl) и в vpls его завернуть, но это затронет ПРОРВУ оборудования и куча систем завоет как при большом пожаре. Потому что в нормально спроектированной сети так не бывает.
> не то что коллеги, а и соседние отделы бы задали, увидев
> эти 10 на магистрали, где их до этого не было.Ээээ... Ну тут вопрос, 10G - это где-то в пределах погрешности или нет :D
нет, не в пределах. Лишние 10G непойми откуда взявшиеся вызовут массу вопросов. Я ж это сам и помогал настраивать. Пару гигабит еще могли бы списать на какие-то новые подключения или еще какие флуктуации. И то спросили бы, скорее всего (может, их мониторить забыли).И ты так и не сказал - что дальше-то с ними делать собираешься? У меня, если что, ноут в 100mb воткнут был. Э...ну...ладно, ладно, он через очень интересный каскад устройств воткнут был, так что там гигабитный порт, в отличие от соседей по цепи - они не дружили с IT отделом. И? Он для прона мне был нужен, а тут ничем не поможет.
Стрёмно как-то всегда, если за тебя решают что ты хотел. Решат ещё чего-нибудь вредное для позитивной жизни.
Хрень, то ли дело раньше было хттп все юзали и все ок. Не надо этих всех новшеств. не тролль
Я с двумя провайдерами ругался всерьёз из-за врезки рекламы в трафик лет 10 назад тому.
От одного ушёл, другой оказался сговорчивее.
Тебя так ломало дописывать "s" в конце http? Поэтому надо вообще отобрать себе такую возможность?
Не надо отбирать возможность дописывать в начале http://
А вот сделать по умолчанию https:// резон есть.
Но новость не об этом, а о том, что ... __замена работает также для сайтов явно открываемых по "http://"__.
Только в фурри, которая такая фурри, и только с экспериментальной опцией.
Если молчать - экспериментальная опция очень быстро становится не экспериментальной и обязательной.
Впрочем, гундеть на форуме все равно не поможет.p.s. я на qutebrowser ухожу. Вот перенесу пароли и историю и все, адью.
Когда уже всех поголовно законодательно обяжут носить памперсы - "на всякий случай"
Вам никто не помешает использовать HTTP в любом случае - на вашем локалхосте вы абсолютно свободны :)
А в условиях растущего числа чисто онлайновых сервисов возможность васянов вклиниваться в трафик - беда.
браузером из которого вырезали код отвечающий за http? Вы круты...
HTTPS - это HTTP, завёрнутый в SSL. Так что не волнуйтесь, никто HTTP не вырежет просто потому, что это не особо возможно. Вот если на HTTP/2 будет повальный переход - там да, там SSL - часть протокола. Но тут уж извиняйте.
Я что-то не понимаю - как включение https на клиенте приведет к автоматическому переходу http сервисов на https? Сертификаты внезапно из воздуха появятся?А если у http сервиса настроен https, то вам, чтобы дописать одну букву к ссылке надо обязательно отключить себе возможность работы через http прямо в браузере? Нету ручек, если так сильно хочется, аддон поставить для этого?
Онанимы такие глупые. Их гугель имеет в хвост и гриву, а они это приветствуют.
К сожалению, вынужден отметить, что да, не понимаешь.
К автоматическому - не приведёт. А вот к переходу в целом - приведёт.
Почему? Да потому что у http-only возникнут определённые сложности.
Забавный ты, Онаним. Я прямым текстом написал - "не понимаю", но ты все равно попытался оскорбить "ты не понимаешь". Совсем оглупел от троллинга в интернете?> А вот к переходу в целом - приведёт. потому что у http-only возникнут определённые сложности.
Не приведет. Потому что те, кто в курсе про https и он им нужен - уже его давно у себя запустили. А тем, кому не нужен, им плевать и они вообще не увидят ничего, кроме сокращения количества уникальных просмотров.
Да вот только им и так пофиг. Разве что еще и на трафике дополнительно сэкономят. А вот у тебя, дорогой, таки проблемы возникнут, ибо ты уже не сможешь спокойно сходить на малоизвестный форум почитать про редкую решенную проблему, которая как раз у тебя и возникла.
Ммм... я честно говоря решение любых возникающих проблем совершенно по-другому веду, поэтому нет такой необходимости :D
По другому, это как? Не пытаешься учиться на чужих ошибках, а пробуешь и пробуешь свои велосипеды?Ну тоже вариант.
> По другому, это как?похоже, спан на клиентских портах включает. В общем, кто вор, на том, походу, шапка-то и загорелась.
Полноценный ситуационный top-down анализ, в частности.
С годами опыта это становится даже быстрее, чем форумы читать.
> я честно говоря решение любых возникающих проблем совершенно по-другому ведуТанцуешь в тиктоке, параллельно озвучивая вопрос?
Нет. В инсту фудпикчи пощу.
Госконтора. Сдавать надо ей какую-то отчетность. Нафиг не нужную но положенную. По хттп всё идёт. На хттпс сайт есть. Но во первых там серт неправильный, во вторых там совсем другой сайт.
Расскажи теперь какое благо форсить хттпс во всех местах.
> Госконтора. Сдавать надо ей какую-то отчетность. Нафиг не нужную но положенную. По
> хттп всё идёт. На хттпс сайт есть. Но во первых там серт неправильный, во вторых там совсем другой сайт.Ну вы понимаете, да, что здесь вовсе не в https дело, угу.
Дело здесь именно в хттпс и му..ках их продвигающих. Мне совершенно плевать безопасна или нет данная передача данных. Она не влияет на бизнес, не затрагивает пд, да почти ни на что не влияет. Это какая-то очередная дурь по сбору никому не нужных данных. А теперь гугла движется в сторону всё запретить. Между гуглом и государством выберут государство. И будет там ие6, если понадобится, до скончания века. А с такими прыжками смузихлебов всё это старье будет зафиксированно как единственно рабочее. И сверху будет спущен регламент работать только в этом. Никому не нужны лишние прыжки и лишние изменения где всё работает.
Да пусть выбирают, кто ж им запретит-то. И сидят с IE6.
Мне как-то фиолетово.
Только непонятно почему при фиолетовасти ты лезешь в каждый коммент за хттпс. Тебе от этого, как оператору, плюсов вообще не видно. Тебе рассказывают про реальные жизненные ситуации которые надо решать здесь и сейчас. Не - гугла и хттпс хороший, ваши задач плохой, а мне так фиолетово.
Потому что я считаю, что HTTPS решит больше проблем, чем создаст.
Именно потому, что работаю в операторе, и хорошо представляю себе риски.
А я работаю не в операторе. И указываю как на косяки оператора так и собранной на коленке схемы разных там девляпсов. Которые работают поверх этих операторов. И простое раньше решение превратилось в какой-то мать его квест. С запросами прав на всё что можно, применение фидлера, ваершарка и черта в ступе. И ты них..на себе риски не представляешь. Только с сточки зрения снятия проблем с оператора. А мы чё, мы ничё - идите к гулугулугу с калофаером. И проблемы компании которая хочет контролировать траифк своих работников тебе тоже побоку.
Оно симптоматично как ты пропустил вопрос про UCEPROTECT и m247.
http:// вне закона?
Нет, просто как и щеколды, уступает место нормальным замкам.
> Нет, просто как и щеколды, уступает место нормальным замкам.http ни разу не щеколда, дверь это. И лично мне в подъезд входить было в разы удобнее, когда она была фанерная. А теперь стоит металлическое убожище, достойное банковского хранилища. Весом с два меня, поэтому открыть одной рукой не всегда и выходит.
Ну да, ну да, давайте еще к ней замков понадобавляем, штучек пять. Чтоб жизнь медом не казалась.
Причем если хочешь сам такую дверь запилить - должен обратиться в соответствующую контору. Если хочешь бесплатно - то должен дать полный доступ к себе домой, ибо без рута все эти скрипты не работают; ну либо садись, образовывайся и изучай. Ведь всем известно, что чтобы ездить на машине, надо уметь ремонтировать ее двигатель.Есть, правда, выход - если совсем-совсем не хочешь давать рута, строй новую квартиру (виртуалку), давай туда полный доступ и уже оттуда замок к двери переноси.
Впрочем, решать можно ли твоим гостям зайти все равно будет гугель, тут уж извини.
> Причем если хочешь сам такую дверь запилить - должен обратиться в соответствующую
> контору.ага, кстати у нее же по факту остается возможность понавыдавать самой себе любых мастер-ключей от той двери.
> Если хочешь бесплатно - то должен дать полный доступ к
> себе домой, ибо без рута все эти скрипты не работают; нуНу зачем же, не полный - просто специально обученные чело...скрипты зайдут проверить, все ли у тебя на столе правильно разложено, и живешь ли ты тут. И будут заходить раз в неделю, а то мало ли, вдруг переехал. Иногда путая квартиру, и оставляя твои ключи васяну, сообразившему поменять таблички с номерками.
> Впрочем, решать можно ли твоим гостям зайти все равно будет гугель, тут
почему же, еще можно попросить о том же мазилу. Правда, они с гуглем уже давно обо всем договорились, и яббл в деле. Захотел - объявил все ключи выданные в прошлом году неправильными, сегодня к двери подходят только свежеизготовленные. А то вдруг те кто-то успел скопировать, пока ты спал! Ну и чтоб был лишний повод зайти к тебе с инспекцией. Гугл с мозилой для виду сперва повозражали, а потом, разумеется, согласились. Все равно ты ключи уже раз в неделю переделываешь, а то гости с ипхоном застревают в твоей двери.
Конкретные советы можно,как с этим бороться?
> Конкретные советы можно,как с этим бороться?"поселиться у леса, на самом краю". Как-то так. Мест где без интернетов еще можно прожить, не так чтоб очень много, но, в принципе, еще остались кое где.
Человечество, увы, за последнее десятилетие изрядно поглупело, и в погоне за каким-то феерическим фуфлом успело необратимо испортить все что можно и нельзя - и продолжает в том же духе. Чем дальше от него, тем надежнее.
Потому что день, когда все это схлопнется как карточный домик - уже явно маячит где-то на горизонте.
Никакими личными усилиями все равно уже ничего не изменить.
Нельзя опускать руки.
Нельзя, но приходится.Мне вот надо было запустить небольшой обработчик маленького сервиса. Так пришлось https включать, при этом и паблик домен заводить (айпишка хоть и белая, но иногда может смениться), и дополнительные обработчики cors дописывать, и виртуалочку для получения ключей с сервером, пробросом портов и отдачей кастомного файла ...
Причем я в упор не понимаю зачем все это надо. Если я злой какир и подсовываю юзеру не менее злой скрипт, который сливает все его данные на мой сторонний сервер, то ведь я этот самый сервер и допишу, чтобы он правильный cors отдавал. Юзер вообще никак это проконтролировать и заметить не может (если он, конечно, не умный пользователь umatrixа). Что с корсом, что без корса.
Ну то-есть и хороший и плохой программеры обязаны написать кучу дополнительного кода и сделать кучу дополнительных движений с абсолютно одинаковым нулевым выхлопом. Зачем? Планету греть?
У меня есть одно единственное объяснение - гугель не хочет чтобы его рекламу резали. Но для обезьян придумывает сказочки про безопасность. Обезьяны, как мы видим, радостно приветствуют.
Очень сложная и объёмная тема...Я озвучу свои выводы и наблюдения.Глобальная цель™ этого всего-увеличивать количество элементов для усложнения контроля ситуации конечным пользователем.Камень?Нет.Он вам не нужен.Берите M-16.Все уже купили M-16.А тот кто не купил-тот что то замышляет.Потенциально опасен.Аномалия.
Нууууууу, может и так тоже. Не вижу противоречия, так что вполне может и да."Покупайте наш суперпуперсложный браузер, так как никто другой такую сложность больше создать не сможет. А простые - не работают.".
Это о безопасности.
"Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности"©
Судя по всему-не достойны.
Никто особо не мешает резать рекламу на клиенте.
Чего чего? А не расскажешь что за буча была весь прошлый год с внедрением Manifest V3? Потом гуглы ещё сказали что мы всё приветствуем, вы нас неправильно поняли и всё "переделили".
Реклама как-то резаться от этого перестала?
Оператор, топит за хттпс что бы лишнего вмешательства в трафик не было, делает рспан сессий что бы порешивать проблемы пользователей. И вот этот человек пропустил мимо ушей манифетВ3? И всю бучу происходящую с тамперманки, уматриксом? Ни разу ничего не читавший в духе https://github.com/uBlockOrigin/uBlock-issues/issues/338 ? Не, неубедительно ты играешь в помощника простого пользователя интернета.
Да я его не пропускал, мне просто фиолетово.
Потому что на данный момент ничего не изменилось, adnauseam как работал, так и работает.
Без анализа трафика хрен ты ряд проблем диагностируешь, это только кажется, что можно иначе.
> adnauseam как работал, так и работает.Даже айлиев который топил за него выкинул в пользу ублока. Хотя месяц жевал этот кактус с словами - нейросеточку им поломаем, я выпаду из статистики и тому подобная дурь. Всё кончилось когда он начал выжирать неимоверные ресурсы и всё равно тыкать рекламой в харю.
Нда, я то думал поклонники зарядки 3литровых банок остались в прошлом. Нет. Они пользуются аднаусемом, не глядят как у других людей сделано, рспанят по 10Г трафики для поиска проблем. Ну и прочие забавные вещи.
Не буду мешать. Продолжай строить новый дивный мир.
Поэтому я и топлю за HTTPS - ISP например не обязательно в вашем трафике видеть собственно содержимое, достаточно открытой его части. Я за то, чтобы ваши личные данные при разборе проблем вообще не видеть.
И нет, я не помощник "пользователю интернетов". Пользователям даётся услуга за деньги.
И при этом - в чём и проблема, которая давно набила оскомину - возникают определённые моменты, связанные с приватностью. В договорах прописано, что мы можем анализировать трафик при наличии технических проблем, но не более, чем надо для их решения. Но вообще это конечно зло, что непосредственно проходящий контент виден.
И ето, даже с анализом трафика некоторые проблемы ты задолбаешься решать.
Есть у нас даунстрим (в Европах так - операторы конечных линий как правило монополисты или около, но дают доступ всем). Через него идёт куча вланов к VDSL'ям пользователей. И вот у нас новый влан. Подключает народ абонента, нет абонента. Смотрим по счётчикам - трафик в VLAN как будет не приходит. Вообще. От слова "совсем". Есть какие-то полтора пакета, но непонятно, что это. Теребят даунстрим. У того время реакции не сильно короткое. Пока теребят, народ успевает ещё двоих подключить. Те тоже без связи, договоры открыть пока не получается, недовольны. Даунстрим (а это мегателеком там) отвечает - мы трафик сняли (!!!), посмотрели, PADI в вашу сторону видим, это у вас что-то не так. Плюнули. Объявили технические работы ночью (а это не одним днём). Народ переконфигурил порт концентратора заново. Ребутнули концентратор на всякий случай (отказоустойчивость есть, но тем не менее). Утром анализируем - та же хрень. Короче полная колбаса. Плюнули, воткнули SPAN (а порт там, как уже писал, десяточный, и трафика овердофига с других вланов). Отфильтровали по влану. Увидели LLDP, и всё. Никаких PADI. Послали даунстриму. Тот - не, это всё равно у вас проблема, мы всё по всей трассе видим, но мы посмотрим. Посмотрели... часов через 6 заработало. Что было - так и не сказали.
Какая-то ахинея. Честное слово. У нас есть вон несколько операторов. Они интернет операторы. Внутренние есть, не суть, там такая же петрушка. И получаем нерегулярные проблемы на несколько минут с половиной интернета. И какой тут спан поможет? Сайт удаленный, мне и от него потребовать дамп трафика? По кодам отклика можно понять что это проблема на стороне оператора. Заявка заведена. Дальше то что? Бизнесу во первых по одному месту что проблема не здесь. Дрючит он местный персонал. Кода отклика с сайтов и размер ответов к делу не пришьешь. Две недели переписки с эскалацией на более высокий уровень сделали своё дело. Можно с самого начала было не маяться с этим и эскалировать проблему. Был внутренний оператор. Там я весь дамп трафика с обоих сторон снял и показал что происходит пропадание трафика ровно при двух размерах пакетов. В остальном всё работало. И дальше они пожали плечами и сказали - а у нас всё нормально, мы ничего сделать не можем. мту на 1000 с полной дефрагментацией пакетов. Всё тормозит, ну и черт с ним.
Так что твои дампы трафика это забавно но не более того.
Всё зависит от собственно оператора и его подходов. От того, дорожит ли оператор репутацией и клиентами. От того, похожа ли проблема на системную.А также от того, что это за клиент и от суммы, получаемой с клиентов в общем. В стране, где интернет три копейки стоит - я не удивляюсь, что большинство операторов предпочтёт нафиг послать, чем разбираться.
Что бы ты предложил в описанном случае? Не давить на даунстрим и послать трёх клиентов к чертям? В фейсбуке смешают с говном в этот же день, а далее конкуренция.
Ммм, вон как. Не подскажешь когда обанкротился UCEPROTECT или m247? Ах да, я же забыл - это совсем другое.
Не я понимаю, ты сидишь в еуропке и привык к политике двойных стандартов. Но здесь то можешь нам в уши уриной не брызгать. Не поймут-с.И главное ты вообще не понял в чём проблема.
В одном случае у меня нет вариантов собрать полный дамп. Это по косвенным признакам можно определить - фильтрация трафика. Черный ящик из кучи операторов с своими автономками. Причём ни где, ни почему это происходит непонятно. Во втором случае это скрытый оператор. Ты знаешь что это такое? Это когда кто-то опутал всё оптикой в городе а большие операторы у него арендуют. Нет договора с реальным хозяином физики. Вот просто я не могу им претензию предъявить ни юридически, ни по смыслу.
И? Ни в одном из этих случаев мне не помог дамп трафика.
А вся эта бедовая ситуация, с которой я безуспешно пытаюсь бороться, происходит из-за отсутствия "презумпции невиновности". Для руководства мы должны доказывать что не дураки. То есть вместо того что бы обвинить сторонних людей - обвиняют своих работников. Даже с полным раскладом что проблема не на нашей стороне звучат претензии:
ну и что ты мне этим тыкаешь, от этого работать всё начнет?
нам что со всеми посориться теперь?
Ну а нам помогает, что ж делать-то.
Суть-то не в этом. Суть в том, что шифрование полезно и абоненту - ему не надо беспокоиться о том, что транзиты увидят его трафик, и оператору - меньше проблем с обкладыванием обзора трафика формальностями. Невыгодно только тем, кто хочет смотреть, что абонент передаёт - но это их проблемы.
А ты такой щедрый и добрый - до чужого тебе всегда есть дело.
Меня вот лично очень сильно напрягают люди которые бескорыстно хотят помочь другим, причём всем в мире сразу. Хотя они им ни брат, ни сват, ни сестра. Денег с них они тоже не получат за такую благотворительность и просвещение. На реальные жизненные проблемы, которые прямо здесь тебе привели, ты фиолетовеешь.
Значит ты с коллегами по другому решил нае...ь пользователей и выдоить их. При разговоре с тобой руки лучше всего держать на своих карманах.
А уж не выгода просмотра что передает пользователь это полная укатайка. Ну да, с множества операторов сосредоточим всю базу у клодфларе с гуглем и амазоном. Вот радость то кака.
Ну да. То, что вам почти всегда предлагается сигнализацию в автомобиле штатную ныне - это определённо зло.
Да и замки на дверях автомобилей - наверняка только способ подоить пользователей.
И выгодно исключительно производителям автомобилей.
Уже давно заметил. Как человек му..к конченый он начинает в ИТ темы тащить либо кухонные ножи либо автомобили. Ну это что бы кривыми своими аналогиями всем мозги поиметь.
Здесь эта вещь не пройдет.
Сначала ты мне покажешь как на замену замков в автомобилях надо ходить к самим концернам автопроизводителей.
А установка собственного замка приходит практически к невозможности пользоваться автомобилем. В твоих терминах это на каждом светофоре глущить, выходить, заходить заново в авто и заводить.
После этого твоя кривая аналогия будет полной.
> Уже давно заметил. Как человек му..к конченый он начинает в ИТ темы
> тащить либо кухонные ножи либо автомобили. Ну это что бы кривыми
> своими аналогиями всем мозги поиметь.Скорее это привычка общаться с технически неграмотными людьми - аналогии воспринимаются гораздо проще.
> Здесь эта вещь не пройдет.
Ну, если так, то мне очень жаль.
> Скорее это привычка общаться с технически неграмотными людьми - аналогии воспринимаются гораздо проще.Нет. Это 100% попытка манипуляции.
А так как ты пришёл на технический сайт, уже какое-то время представляешь кто здесь ходит. Видишь кто как общается в этой ветке ну и т.д... Твоя отсылка к неграмотным людям выглядит смешно. Ну если не думать. А если подумать это манипуляции и как следствие неуважение к участвующим в этой ветке.> Ну, если так, то мне очень жаль.
Да нисколько.
Угу, мне больше делать нечего, кроме как изучать привычки сюда ходящих.
Я здесь развлекаюсь полемикой, иногда тупым стёбом и троллингом. Других интересов нет.
> И ето, даже с анализом трафика некоторые проблемы ты задолбаешься решать.именно по этой причине - нафиг не надо его анализировать.
> Подключает народ абонента, нет абонента. Смотрим по счётчикам - трафик в
> VLAN как будет не приходит. Вообще. От слова "совсем". Есть какие-тособственно, и достаточно. Телега менеджерам - "даунстрим не работает", телега другим менеджерам, поглавнее - "найдите другой, эти - п-сы". В принципе-то, конечно, их заранее тестируют, прежде чем подключать кого-то, но это не всегда помогает - сегодня работало, завтра - "мы внедрили на сети 3ple pay" - обычно после этого не работает никакой multicast-based протокол, очень характерная фича и сразу видна, и даже понятно, почему, но руки вырвать и вставить другим концом в плечи - все равно не получится, проще - обойти.
> Увидели LLDP, и всё. Никаких PADI. Послали даунстриму. Тот - не,
> это всё равно у вас проблема, мы всё по всей трассето есть никакой пользы от заранее настроенной системы воровства клиентского траффика так и не было. О чем и речь.
Ну ок, будем знать, что в Чехии (точно все же не в Чечне?) провайдеры абсолютно о...вшие и занимаются совершенно вредной и ненужной деятельностью, вместо того чтоб работать.
В РФ пока до такого маразма не дошло. У мегафона вредительством особое подразделение занимается, если что, вообще не имеющее отношения к основному сетевому, и в другом месте. И там тоже не забалуешь, спалят.
> то есть никакой пользы от заранее настроенной системы воровства клиентского траффика так
> и не было. О чем и речь.Снимали трафик - забавно - обе стороны. И мы, и мегателеком. Но если на них фактами не давить - решение проблемы займёт не четверо суток, а пару недель. Только они сильно в минусе не останутся, абоненты не их, они только линию предоставили.
> телега другим менеджерам, поглавнее - "найдите другой, эти - п-сы"Проблема в том, что даунстрим - ОДИН. На всю страну :)
Ну что делать, проблемы карликовых государств. Не удивлюсь, если и воровство траффика там поставлено на широкую ногу, и местные товарищмайоры плотненько там же сидят, без всякого палева и лишних законов, вызывающих нездоровое возбуждение у частной публики.У нас, уверяю, не так. И технические возможности ограничены, кроме совсем помойных подвальных, у которых все в одном подвале, вместе с крысами, им несложно (если они вообще, правда, умеют), и за настройками оборудования принято немного присматривать.
А товарищмайор не поделится, он этими данными торгует с беллингадом.
Так что если что-то действительно вызывает сомнения - отрывают опту по обоим концам и тестеры подключают.
Но с помойкодаунстримами обычно хватает надувания щек. Правда, обычно через месяц внезапно снова все ломается - и снова никто не понимает, почему и какие судорожные дергания в прошлый раз все починили. Поэтому проще и надежнее сразу таких менять. У нас обычно - возможно.
Мы просто в очень разных реалиях работаем, отсюда и непонимание :)
И там другая сторона медали есть: несмотря на такие вот косяки, то, что у этого даунстрима работает - работает с железным аптаймом. За редкими исключениями.
> Нельзя опускать руки.Ну а чего делать-то еще? Вот недавно общались с админом дружественного сайтика. Пол-тера видео, в flv. Исходников нет - в 2002м году, когда оно начиналось, негде было такое хранить в принципе. Конвертировать - потерять остатки качества, его и так немного.
Последнее непомойное - залито 24 ноября прошлого года - то есть еще тогда находились люди, способные справиться с флэшом, и которым было важно выложить именно туда, а не на ютруп где никто ничего кроме помоев не найдет никогда.Теперь, естественно, не работает ни у кого, кроме полутора человек типа меня.
Ну и чего делать будем? Видимо, решение - наплевать и забыть. Диск развалится - ну умрет сайт.
PS - ну да, ну да, еще и небезопастный http. https в целом есть, только sni не работает и сертификат не от того сайта. Поэтому модным-современным гуглобраузером туда вообще никто уже не зайдет.
Ну тогда собственно помрет - никто и не заметит. А если нет разницы - то какая нахрен разница? Я и 5 лет назад не собирался ради каких-то левых сайтов флеш ставить. Для меня это просто не существовало, разве что если direct link на FLV дадут, так что я его vlc ухвачу. Но это жлопские флешеры не любят. А теперь они удивляются что юзери так то на могилку потанцевать приходят? :)
Повторяю: последний аплоад - 24 ноября. При том что и несезон, и из-за карантинов вообще весь год был несезон.
Заметят. Сделать вряд ли что смогут, это не сайт кр@сногл@зиков.> Я и 5 лет назад не собирался
проблемы белок-истеричек никого не волнуют. Нормальным людям что делать из-за вашей истерики? На редтубе этого контента нет, порнуха там одна.
direct link на flf там вообще-то есть...уп-с - доступен по кнопке внутри флэшплейера. Да и что с ним дальше делать? Ставить какой-то стремный софт с васянских помоек, как вы это делаете? У него хоть подпись-то есть, или как всегда?
Времена, когда почти на каждом компьютере стояли всякие странные плейеры, потому что никакое видео из интернетов без них не открывалось - остались там, в 2002м.Ну и вот вам вишенка на тортике из г-на: чтоб вообще что-то увидеть - сперва ж теперь надо будет понять, почему вместо этого сайта открылась пустая белая страница с непонятным БЫР-ПЫР-ШЫР заклинанием, и даже если умудриться ее обойти - открывается какой-то посторонний сайт. Не уверен что я сам сообразил бы, что случилось - привычка набирать протокол а не только хостнейм давно утеряна.
Не кинешь ссылку на сайт?
> Не кинешь ссылку на сайт?деанон будет 100% ;-) А зачем тебе? Ты либо ее и так знаешь, либо тебе это не интересно. Там не е'ля с конями, если что. Коней-то и новых нае...м, в обобряемых гуглезилой видеоформатах, какие наши годы. А это уже история, и сбегать переснять не получится.
Да что за видео интересно такое древнее. Про коней это мне неинтересно, не панин чать. Может там мемасики какие интересные несколько десятилетней давности.
Ну нет, так нет.
> Да что за видео интересно такое древнее.некоторые вещи имеют ценность, когда сделано в первый раз. Поэтому переснимать бесполезно.
Некоторые имеют художественную, поэтому переснять нельзя.
Некоторые невозможно повторить в принципе, потому что там с тех пор поставили пулемет, и иногда даже два.
Некоторые повторять не надо, потому что ну его нахер.
С конями реально проще было б.> Про коней это мне неинтересно,
ну вот и это тебе тоже вряд ли, а кому интересно - знают адрес.
Как всегда отстают от лисы.
По моему народ местный немного с приветом - https нужен по сути для авторизаций. Если вы просто просматриваете страницы, никакого смысла нет. Лучшее, что придумало человечество для коммуникаций это http1,irc,mail и imageboards. Остальное - глум корпораций.
> для авторизаций. Если вы просто просматриваете страницы, никакого смысла нет.У обнаглевших провайдеров свои идеи на этот счет.
> Лучшее, что придумало человечество для коммуникаций это http1,
Чего в нем хорошего?
> irc,
При том без TLS видите ли иркопов pwn'или за милую душу. Некоторые с горя конечно придумывали дичь типа RSA аутентификации, но поскольку оно видите ли не стандартно было - юзать это было крайне мучительно, никто и не юзал.
Спустя цать лет до сетей доперло что можно хэш клиентского серта TLS юзать как примерно то самое. При этом еще и юзер проавторизован до заваливания на сервер. Зачем? Так могут например даже через онион пустить. Без авторизации боты быстро объяснят что к чему, а так они получат бан на аккаунт и пойдут регаться заново, не прикольно :).
И да, без авторизации в irc можно только если у тебя вообще совсем никаких правов нету. А если кто хочет тебе правов отсыпать, все-равно регаться на сервисах надо.
> mail и imageboards. Остальное - глум корпораций.
Вон там в советах гораздо более клевый email есть. И кстати докер нафиг не упал, можно самому такое поставить в контейнере/виртуалке.
Вот для провайдеров я бы сделал отдельную штуку, не люблю усложнения веба, но сделал бы разметку позволяющую провайдерам или кому-то ещё вставлять свои данные или рекламу, но явно и в конкретном месте, а также явно открывать свои странички. Типа "страница, которую поставщик соединения предлагает посетить".
И для wifi авториации нужно, и для каких-то оповещений. И без замен.
> Вот для провайдеров я бы сделал отдельную штуку, не люблю усложнения веба,
> но сделал бы разметку позволяющую провайдерам или кому-то ещё вставлять свои
> данные или рекламу, но явно и в конкретном местеа уже сделали. Реклама мегафона у меня вылезла именно вместо местных гуанобанеров (поэтому с обычной системы я бы и не заметил разницы, зря старались, но с обычных систем я обычно не пользуюсь провайдерами-диверсантами). Логичненько, в общем, и скрипт несложный.
>> Лучшее, что придумало человечество для коммуникаций это http1,
> Чего в нем хорошего?его легко и понятно отлаживать, если что-то пошло не так, и единственная серьезная в нем проблема - т-порылое нежелание гугля поддерживать авторизации, отличные от basic. (А не в пушку ли у него рыло? Да кто б сомневался!)
>> irc,
> При том без TLS видите ли иркопов pwn'или за милую душу. Некоторыеты уже признался что опоздал родиться, поэтому не звезди о том в чем не смыслишь. split никакого отношения к tls не имел.
Он и с tls так же сработает.> Спустя цать лет до сетей доперло что можно хэш клиентского серта TLS
> юзать как примерно то самое. При этом еще и юзер проавторизован
> до заваливания на сервер. Зачем? Так могут например даже через онионюзеры irc строем разворачиваются и уходят - потому что частичная анонимность была как раз одной из важных фич, определявших и тусовку, и содержимое. Собственно, уже давно почти все и ушли.
> И да, без авторизации в irc можно только если у тебя вообще
> совсем никаких правов нету. А если кто хочет тебе правов отсыпать,
> все-равно регаться на сервисах надо.кто первый канал зохавал, того и тапки. Кто пытается обмануть систему - ну получает, что заслуживает.
>> mail и imageboards. Остальное - глум корпораций.
> Вон там в советах гораздо более клевый email есть. И кстати докерemail вы нам тоже уже доломали - без dkms видите ли низзя. А что нормальные (позволяющие не засорять личными ответами чужие почтовые ящики) мэйллисты сохраняют from - белкам-истеричкам пофигу ведь.
Авторизация - это ещё не всё. После авторизации что делать? Сессионный ключ тоже по сети передаётся.
Регенерить как защиту от реплея каждую загрузку не получится - если юзер решит одновременно послать два запроса, он приедет...
> Авторизация - это ещё не всё. После авторизации что делать? Сессионный ключ
> тоже по сети передаётся.он после сброса сессии - в тыкву.
Зато он во время сессии очень даже.
C т.з. клиента вообще без разницы, как просматривать страницы, и от наличия HTTPS для клиента ничего по сути не меняется.
> C т.з. клиента вообще без разницы, как просматривать страницы, и от наличия
> HTTPS для клиента ничего по сути не меняется.вообще-то меняется, поскольку установка сессии чудовищно тормозит не смотря на все костыли с zero brain start или как там оно.
Но юзер не в курсе что виноват ненужный ssl, он думает - "странно, раньше этот сайт так не тормозил".
Да, частично это лечится переносом всего барахла за прокси и отдачей непосредственно с сайта, если нельзя просто использовать локальные ресурсы. Но лично мне это крайне неудобно.
Хотя скоро, небось, и будет единственным выходом. А дальше будут коннекты без https вообще, бравзер не видит, спите спокойно.
Прямо теория заговора какая-то с этими браузерами, будто инопланетяне пытаются захватить наши мозги с их помощью и организовали две одинаковых секты - лиса и хром. А опера не сама закрылась, а её закрыли...
> Прямо теория заговора какая-то с этими браузерами, будто инопланетянеесли бы. Обычные идиоты. Старательно ломающие то, что не они строили, в борьбе с собственными страхами. Кто у нас в этой теме ярый сторонник пихания ненужной безопастности всюду и везде, где ее не просили? Опа - подвальный горе-провайдер, имеющий, как выясняется, привычку снифить трафик своих клиентов.
А если мне надо отлаживать на локалхосте при разработке?
1) Возможность набрать http:// никто не уберёт, именно потому, что это много чего усложняет.
2) На локалхосте при разработке ты можешь юзать самоподписный сертификат + у тебя и так полный доступ к трафику.
> 2) На локалхосте при разработке ты можешь юзать самоподписный сертификат + уне может.
То есть до первого cross-origin запроса.
На локалхосте можно и в списочек доверенных инсталльнуть.
Да и в хостс всё, что надо прописать.
Речь о локалхосте. Сунулся наружу - там уже чужая среда, будь добр.
> На локалхосте можно и в списочек доверенных инсталльнуть.не поможет.
self-signed сертификаты в современных браузерах работают только для основного сайта. Даже добавленные в исключения. Если ты отлаживаешь не свою васян-страничку, а просто даже скриптик для нее же, но отдельно - все, приехал. Узнать что он не запустился можно только по косвенным признакам, ну или где-то в консоли среди миллиона ненужного выхлопа.> Сунулся наружу
"наружу" может быть даже доскер-контейнер на том же локалхосте.
> Сунулся наружу - там уже чужая среда, будь добр.
Это моя среда. Если там чужие свободно не то что шастают, а траффик воруют - у нас проблемы похлеще каких-то браузерных глупостей.
И особо не радуйтесь. Впереди ещё HTTP/2 (и 3 возможно), сколько лет займёт переход хз, но он будет. А там SSL уже не вынуть никак.
> И особо не радуйтесь. Впереди ещё HTTP/2 (и 3 возможно), сколько лет
> займёт переход хз, но он будет. А там SSL уже не
> вынуть никак.и отлаживать это udpшное г-но - тоже никак, угу.
К счастью, мне уже не придется, а вы - е-тесь как хотите. Вас нихера и не жалко.
http/2 не UDP'шный
http/3 да, жесть жестяная