Torbjörn Granlund, создатель математической библиотеки GNU GMP (GNU Multiple Precision Arithmetic Library) предупредил пользователей о блокировке доступа к серверам, обслуживающим репозиторий проекта, для всего диапазона IP-адресов компании Microsoft...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59310
a http://lists.gnu.org/ заблокирован из РФ, об этом тоже новость нужна - проект ГНУ, типа свобода и всё такое, а на проверочку - такие же маргиналы и подхалимы
Все работает, не ври.
Аха, точнее, работает только при включенном обходе DPI. Так что тут к тебе вопросы, ты же тут за все хорошее (проавторитарное) и против всего плохого (продемократического).
Откуда такие сказочные как ты берутся? Когда ты включаешь впн естественно можешь зайти потому что выход у твоего впна не в России. Твоё "продермократическое" занимается занимается тупой сегрегацией.
Не они заблокировали, а их заблокировали. Домен lists.gnu.org или адрес их сервера находится в реестре Роскомнадзора. Билайн выдаёт "Доступ к информационному ресурсу ограничен на основании Федерального закона "Об информации, информационных технология и о защите информации".
> Не они заблокировали, а их заблокировали. Домен lists.gnu.org или адрес их сервера
> находится в реестре Роскомнадзора. Билайн выдаёт "Доступ к информационному ресурсу ограничен
> на основании Федерального закона "Об информации, информационных технология и о защите
> информации".У нас тут постмодернизм, понимаешь? Правда не важна, важно, как человечек себя чувствует, не триггерит ли его сверх меры.
> Не они заблокировали, а их заблокировали. Домен lists.gnu.org или адрес их сервера
> находится в реестре Роскомнадзора. Билайн выдаёт "Доступ к информационному ресурсу ограничен
> на основании Федерального закона "Об информации, информационных технология и о защите
> информации".Я понимаю, что на техническом ресурсе в 2к23 каждый волен написать глупость.
Но когда она набирает 7 плюсов, и никто не удосужился посмотреть трассу...$ traceroute lists.gnu.org
traceroute to lists.gnu.org (209.51.188.17), 30 hops max, 60 byte packets
...
5 ae15-xcr1.skt.cw.net (195.89.96.189) 129.864 ms stkm-cr4.intl.ip.rostelecom.ru (87.226.134.112) 121.665 ms ae15-xcr1.skt.cw.net (195.89.96.189) 129.353 ms
6 * * *
7 s-bb2-link.ip.twelve99.net (62.115.139.186) 121.776 ms telia-1483-gw.skt.cw.net (195.2.29.222) 121.464 ms *
8 * s-bb2-link.ip.twelve99.net (62.115.139.186) 121.965 ms *
9 nyk-bb2-link.ip.twelve99.net (80.91.254.91) 214.526 ms 213.893 ms *
10 nyk-bb2-link.ip.twelve99.net (80.91.254.91) 213.518 ms bost-b2-link.ip.twelve99.net (62.115.122.235) 221.032 ms 220.967 ms
11 bost-b2-link.ip.twelve99.net (62.115.122.235) 221.570 ms 221.035 ms 62.115.139.193 (62.115.139.193) 221.295 ms
12 bost-b4-link.ip.twelve99.net (62.115.139.190) 217.217 ms 217.281 ms 216.196 ms
13 bost-b4-link.ip.twelve99.net (62.115.139.190) 215.985 ms towardex-ic-372977.ip.twelve99-cust.net (62.115.51.213) 228.907 ms 228.073 ms
14 bbr01-fh-0-2-0-7.bsn05.twdx.net (198.160.62.4) 228.026 ms 228.285 ms towardex-ic-372977.ip.twelve99-cust.net (62.115.51.213) 228.798 ms
15 bbr01-fh-0-2-0-7.bsn05.twdx.net (198.160.62.4) 228.041 ms dcr03-fh-0-10-0-19.bsn04.twdx.net (198.160.62.203) 227.081 ms 226.174 ms
16 mass-ix.fsf.org (206.53.143.61) 225.115 ms dcr03-fh-0-10-0-19.bsn04.twdx.net (198.160.62.203) 227.106 ms mass-ix.fsf.org (206.53.143.61) 225.934 ms
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
Сейчас из провайдеров мало кто всё подряд режет, обычно блокируют только доступ к 80 и 443 портам. Пакеты UDP и ICMP до lists.gnu.org доходят прекрасно, поэтому и tracerоute маршрут рисует. Но попытка открытия 80 TCP порта из сети Билайна приводит к показу прекрасной заставки о блокировке.
> Сейчас из провайдеров мало кто всё подряд режет, обычно блокируют только доступ
> к 80 и 443 портам. Пакеты UDP и ICMP до lists.gnu.org
> доходят прекрасноПокажите подходящими строками из приведённой выше трассы, как они доходят.
Ставлю на то, что кто-то бездумно прописал репозитории проекта где-то в Микрософтовских сервисах, ибо ддосить со стороны Микрософта - ну это уже слишком по детски как-то.
так то, у микрософта одна из услуг - аренда вычислительных мощностей, второе по размеру облако в мире, после амазона.даже ты, можешь пользоваться их облаком не зная этого, покупая через реселеров.
> так то, у микрософта одна из услуг - аренда вычислительных мощностей, второе
> по размеру облако в мире, после амазона.
> даже ты, можешь пользоваться их облаком не зная этого, покупая через реселеров.Ну так-то да, но я подразумевал чисто микрософтовские сервисы, а не "кто-то арендовал сервер и случайно ддосит с него потому что руки кривые"
Майкрософт прошляпил DoS со своей инфраструктуры? Это под дых репутации.
Не прошляпил. Они же заявили, что это фича, а не баг.
Вот пусть майки и поставят за свои деньги кеширующий прокси, свою копию репов и проч - и долбят ЭТО до упора, если им денег девать некуда. В таком раскладе никто возражать не будет.
Вообще-то, CI/CD система, которая билдит что-то для сотни архитектур, должна сама уметь один раз скачать зависимости и использовать полученные тарболы для всех билдов, а не полагаться на кэширующий прокси.
Вы не понимаете, это, здесь по праву именуемый, девляпс. На каждый коммит стартуем с чистого листа, повторно выкачиваем всё то, что могло бы быть локально закэшировано - лежать рядом.Поигрался как-то со скриптами для запуска Stable Diffusion через бесплатный Google Colab. Что-то пошло не так? Пользователь ввел не те данные? Удаляй экземпляр, начинай по новой. Благо на гигабитной серверной сетке (всё исполняется в облаке) ждать выкачивания гигов 15-ти - дело пары минут. То что это в глобальном масштабе бесмысленно, тратит энергию и полосу...
зачем это здесь? мало-ли что где происходит
Ну почему же? Была, например, новость о теневом бане игры Minetest в поисковике Bing. Мелкое корпоративное гадюшничество как есть.
дай ссылку, пожалуйста, я не нашёл.
> не нашелПотому что она в теневом бане, а-ха-ха-хах!
> зачем это здесь? мало-ли что где происходитВсе факапы M$ должны быть запротоколированы.
Зачем ты здесь? Мало ли что где происходит
Ну нельзя же так откровенно писать у себя на сайте о своей незащищенности.
а вдруг кто денег даст, че бы нет
Microsoft and GitHub have investigated the issue and determined that a
Github user updated a script within the FFMPeg-Builds project that pulled
content from https://gmplib.org. This build was configured to run parallel
simultaneous tests on 100 different types of computers/architectures. This
activity does not appear to be nefarious. GMPLIB appears to have limited
infrastructure that could not sustain the limited, yet simultaneous
requests.Mike Blacker
Director
Threat Hunting, Operations, and Response
GitHub Securityhttps://gmplib.org/list-archives/gmp-devel/2023-June/006162....
Расходимся.
https://gmplib.org/list-archives/gmp-devel/2023-June/006164....Note that this abusive traffic is still ongoing, but it is subsiding as
I keep adding more and more Microsoft subnets to the firewall rules. I
have much better things to do than defend a public service web server
against corporate abuse!What would you advise me to do, should I contact a US lawyer and have
them send a cease and desist letter?I've copied a short excerpt from the current logs (these subnets are now
going into the firewall rules too, of course). Last afternoon (UTC) it
was about 10 times worse than shown here.
Не расходимся
Запущенные пайплайны заканчивают отрабатывать — никогда такого не было! Совершенно нетипичное поведение!Торбьёрн ведёт себя как истеричка. Вот вам и хардкорные олдскульные программеры. Фу таким быть.
Вербально выглядит что будто это Вы привязались к репам GMP и запустили этот тест ))
По-моему фу быть ьакланами, которые долбят хз кого и почему тяжелыми запросами и считают что весь мир создан исключительно для их величеств.Докер уже очень популярно для любителей халявы эту мысль недавно донес, между прочим. До некоторых с 1 раза не доходит?
И да, меня как-то банили за что-то такое, случайно подгрузил сервак апстриму - да еще благими намерениями. Решилось полюбовно, ессно, но в статистике их систем я все же оставил неизгладимый след, когда их стало грузиить в разы больше чем до этого, вплоть до того что они напряглись по IOPS на меня. Не надо гасить чужие сервера сотнями параллельных джобов на каждиы пшик, иначе вам популярно и подробно объяснят что вы неправы. Доступ к серверу это привилегия а не право, и если кто создает проблемы перфоманса, его сперва аннигилируют а потом разбираются. Так работают админы и сервера в интернете.
Поздравляю, ты открыл для себя жабогадюкинг :)
> Поздравляю, ты открыл для себя жабогадюкинг :)И поддержку этой фичи на опеннете - во, 🐸🐍 :). А на самом деле обычные рабочие процессы, я просто не обратил времени что джобы как-то долговато работают. Оказывается оно там диски у них жабогадючило по полной, IOPSы пробили стратосферу, админы охренели и вывесили бан на проблемный айпишник. Ну а потом уже разобрались, согласовали менее проблемные паттерны, баню сняли и все заверте... (now playing: Systems Online).
> Запущенные пайплайны заканчивают отрабатывать — никогда такого не было! Совершенно нетипичное поведение!Ну знаешь ли. Пайплайны можно писать по-разному. Можно например делать shallow-clone, утаскивать только последний коммит. Это размуно, если тебе нужно просто какой-то конкретный код собрать в рамках пайплайна. Это -- хороший тон.
Но вот автор сабжевых пайплайнов видимо решил, что нужно каждый раз клонировать целиком, чем создал необоснованную и главное -- совершенно не нужную нагрузку на внешний сервис. Такое поведение у современных девопсов в порядке вещей, да. И это действительно проблема.
> Торбьёрн ведёт себя как истеричка. Вот вам и хардкорные олдскульные программеры. Фу таким быть.
Я скромно напомню, что не так уж давно такой популярный сервис как DockerHub ввёл pull rate limit-ы, и ввёл их именно по этой причине. Они тоже истерички, надо полагать?
Проект gmplib в некотором смысле словил slashdot-эффект, с чем его можно только поздравить. Он в связи с этим принимает вполне понятные и предсказуемые меры, блокируя источники ddos-а. Как будет решаться вопрос в комплексе -- покажет время. Может Торбьёрн поставит какой-нибудь простенький anti-ddos, отдающий http 429 в случае аномальной нагрузки... А может, смеху ради, перенесёт репу на гитхаб, и тогда это будет уже проблема Microsoft... =)
upd:
Тут ниже по треду выяснилось, что ребята используют mercurial, так что в целом -- более правильным решением для них было бы на самом деле пересесть на git уже; капитально облегчили бы себе жизнь. Ну а истинный виновник суматохи уже осознал, что hg такой себе инструмент, и теперь утягивает тарболл с миррора. =)
В целом, ошибку автора пайплайна понять можно. Современные разработчики не особо в курсе, что такое Mercurial, и как он работает.
Правку к новости отправил.
> Но вот автор сабжевых пайплайнов видимо решил, что нужно каждый раз клонировать целиком, чем создал необоснованную и главное -- совершенно не нужную нагрузку на внешний сервисОК, а причем тут MS?
a. проблемные пайплайны в проекте на гитхабе;
b. гитхаб принадлежит мс.итог: пайплайны запускаются на серверах мс
> a. проблемные пайплайны в проекте на гитхабе;
> b. гитхаб принадлежит мс.
> итог: пайплайны запускаются на серверах мсС таким же успехом они могли бы запускаться на серверах Amazon, Google, Atlassian и т. д.
Но почему-то, знаете, я прям уверен, что если бы это не были сервера MS, то такой новости не было бы на Opennet. Я прям как облупленных тут всех знаю.
> С таким же успехом они могли бы запускаться на серверах Amazon, Google,
> Atlassian и т. д.С таким же успехом будет забанено если создаст проблемы. Представляете? Если я вписался админить нечто - я прежде всего обеспечиваю доступность этого ALL. Если чье-то агрессивное поведение этому мешает, или увеличивает косты, будет аннигилировано влет. Возможно роботами вообще.
И кстати 8 гигз в час == несколько терабайтов в месяц, на минутку. Если каждый клиент будет жрать по несколько терабайтов в месяц, а клиентов будет дохрена, у любого хостинга и магистрала терпение лопнет и для непонятливых цены за траф станут другие. Доскер на себе уже ощутил как оно, так что вот вам тут боты - можете с ними спорить, но они вас все же забанят, снизив трафик до приемлимого.
Вот и у нас такой был, боролся с ветряными мельницами, то SSH на нестандартные порты перевешивал, то fail2ban ставил, то ещё какой-то хернёй страдал с анализом логов MXов. В итоге его автоматика забанила инфру крупного клиента в день демо продукта. Клиент, конечно же, с пониманием отнёсся, демо перенесли на неделю. А вот чудака я того больше не видел, говорили что он от стыда ушёл по собственному.
ну всё, маинтайнер gmp теперь тоже со стыда уволится.
> Вот и у нас такой был, боролся с ветряными мельницами, то SSH
> на нестандартные порты перевешивал,А представляете, пачка ботов на серваке нехило проц грузит при случае. Если RSA поюзать то там вообще капец. Тем более что на типовых хостингах не успеешь виртуалку раскатать как уже проц в полку и там уже толпа халявщиков халяву ищет, зная что это хостерский диапазон.
Перевес на нестандартный порт очень сильно снижает число ботов. А если еще и RSA выпилить в пользу 25519 становится и вовсе ЗБС. А в чем прикол если лькиную долю ресурсов впски сожрут не мои полезные сервисы а боты халявщиков, грузящие проц на счет RSA оптом? Мне такой хоккей зачем?
> то fail2ban ставил, то ещё какой-то хернёй страдал с анализом логов MXов.
Порткнок в конечном итоге лучше работает, так злыдни ssh вообще не видят.
> В итоге его автоматика забанила инфру крупного клиента в день демо продукта.
Видимо вайтлистить важные диапазоны его не учили :). Как и амнистировать забаненое по таймауту, чтоб под гасилово не попадали те кто унаследует те айпишники.
> не видел, говорили что он от стыда ушёл по собственному.
Вообще не уметь в вайтлисты для себя и важных айпи и правда постыдненько. Бывает и забавнее, когда автоматика админа банит и остается хост без управления :))). Если админ не совсем дятел - на умеренное время. Конечно если реально надо то out of band менеджмент наше все - но это отдельный гимор по сравнению с стандартными процедурами.
да ладно, это ж сказочка про белого бычка всё. максимум что было — у погромистов прямо перед (или даже во время) демки всё, как полагается, упало. потому что писали Профессионалы, а не какие-нибудь там. а админ и так всех достал со своей безопасностью, вот и нашли крайнего. даже не сами погромисты, а начальник отдела/pm, которому срочно надо было накопать виноватого.
> да ладно, это ж сказочка про белого бычка всё. максимум что было
> — у погромистов прямо перед (или даже во время) демки всё,
> как полагается, упало. потому что писали Профессионалы, а не какие-нибудь там.
> а админ и так всех достал со своей безопасностью, вот и
> нашли крайнего. даже не сами погромисты, а начальник отдела/pm, которому срочно
> надо было накопать виноватого.Судя по описанию там вся конторка - один большой FAILBAG, начиная с начальников.
> Судя по описанию там вся конторка - один большой FAILBAG, начиная с
> начальников.если она вообще существует где-то кроме воображения автора, конечно. а так да.
> если она вообще существует где-то кроме воображения автора, конечно. а так да.Ну вот я в этом тоже не уверен. И пугать меня увольнениями они могут долго и безрезультатно. Я, типа, сам на себя обижусь - и сам себя уволю? :) И таки мои демо перед кастомерами не заваливаются, я их ДО показа кастомерам тестирую, во избежание. А вот почему у тех FAILBAG'ов оно не так было - да, вопросец :)
Криворукость автора пайплайнов я под сомнение даже не ставлю. Речь о другом.
Видимо о таком другом, что и сказать нечего. На сервер человека идёт ддос с машин микрософта. Он их в блеклист суёт. Не вижу тут истерики. Да и вообще новость раздули из ничего. Обычные рабочие процессы.Имею мнение, что истерика -- это когда т-щ Прокудин обвиняет всех подряд вокруг в том, что у них истерика. )
Кривые руки — у автора скрипта, никак не связанного с мелкомягкими.Автор GMP вопит, что микрософт его корпоративно абьюзят, передёргивает в рассуждениях и угрожает микрософту/гитхабу лоерами.
Твоя реакция: не, а чё не так-то?
Это даже не смешно.
Я в целом тоже не рассчитываю [на адекватность аудитории]. Но просто ты вот приходишь каждый раз, и желчью на кого-то исходишь на ровном месте. Ну вот сидит старый дедушка, занимается своими делами, а у него тут вдруг проблема с ддос-ом. Он вежливо написал в рассылку, что вот-де такая-то ситуация, и что он принимает соответствующие действия. В ответ к нему в рассылку пришли сотрудники корпорации, и послали нахер, впрочем тоже крайне вежливо, но всё же нахер. Его возмущение в целом можно понять. Но ты приходишь, смотришь свысока на деда, и пишешь комментарий "фу таким быть". Мне вот такое не нравится. Я считаю, что так поступать не следует.Раз ты, Прокудин, докапываешься до чьего-то базара, ну так было бы неплохо и за своим следить.
> Мне вот такое не нравится. Я считаю, что так поступать не следует.А мне не нравится та часть сообщества, которая закатывает истерики, валяясь на асфальте и дрыгая ножками. От них сразу хочется как-то отмежеваться.
Уже писал в другом треде: нет никакой проблемы написать чуваку из гитхаба "Алё, там, придумайте какую-нибудь защиту от дурака, я чего за вас страдать-то должен?". Вместо этого товарищ начинает вонять про корпоративный абьюз и угрожать лоерами. Витамины пить за него тоже кто-то другой должен?
отличный подход. обгадились, значит, m$ — а подтирать за ними должны другие. опять бесплатно. и да, отсутствие такой защиты изначально — это именно косяк гитхаба; а, следовательно, m$ как владельцев. набрали Молодых Перспективных по объявлениям — и ждут, что их кто-то другой натаскивать будет. хорошо устроились, чо.не вижу ни одной разумной причины с ними сотрудничать: косяк — и сразу бан. который лично я бы не снимал, пока они публично не извинятся и не компенсируют деньгами.
> отличный подход. обгадились, значит, m$Мне очень нравится, как ловко ты манипулируешь фактами. Криворукий автор скрипта CI уже куда-то пропал, на его месте -- извечный, лютый враг всего опенсорца -- страшный и ужасный ~Гудвин~ Микрософт. Даже головой думать не надо -- вот же понятный враг, ату его.
то есть, m$ не владеет гитхабом, это я сманипулировал? m$ не отвечает за качество своих нанятых работников, это я сманипулировал? этим работникам, кстати, официально деньги платят в виде зарплаты. но думать и работать за них должны другие, которые зарплаты не получают. ну да, ужасная манипуляция: взять — и сказать не политкорректно, а как оно есть ирл.наниматель отвечает за своих подчинённых. и никак иначе. ну вот и пусть будет любезен, может научится чему. кто m$ виноват, что она много лет работала на репутацию, и теперь добровольно им помогать желающих мало? вот так оно и работает: относишься к другим как к расходникам для своего бизнеса — другие при случае отплатят тем же.
а криворукий автор виноват только в том, что криворукий, и это его личные проблемы. он гитхабовцам заплату не платит; проследить, чтобы кривые скрипты не доставляли никому неудобств — как раз задача работников гитхаба. с которой они не справились — откуда следует, что работодатель нанял профнепригодный персонал. ну вот пусть теперь извиняется и компенсирует.
а перевалить вину с корпорации на автора открытого проекта — это старая уловка корпорастов. ну, может ты и найдёшь какое-нибудь наивное летнее дитя, которое по неопытности на это купится, но я старый, толстый, и подобное не покупаю.
Боже, какой манямирок. Нет, MS не отвечает за своих нанятых работников. Совершеннолетние люди несут полную ответственность за свои действия. Но это совершенно неважно, так как пайплайн принадлежит не Майкрософту, а их клиентам, третьим лицам. В рамках модели совместной ответственности, Майкрософт не отвечает за код клиентов.> я старый, толстый
До седых волос дожил, а ума не нажил. Русская народная пословица. Слышал такую, пухлик?
> Боже, какой манямирок. Нет, MS не отвечает за своих нанятых работников.ты же из россии, да?
> Уже писал в другом треде: нет никакой проблемы написать чуваку из гитхаба
> "Алё, там, придумайте какую-нибудь защиту от дурака,Извините но это не так работает.
Когда Вася начинает делать проблемные действия и сервак валится от нагрузки, его начинают называть хакером, ддосером, кракером и волокут в тюрьму. А когда это же делается с серверов Майкрософт - предлагается проявить двойные стандарты и не рассматривать то что выглядит как явная атака на инфраструктуру нарушающая работоспособность сервера как именно атаку?
Поэтому баня на все "агрессивные" айпишники это как раз джентльменский миниум наград, а потом там пусть владельцы гадющника с своми кастомерами и утрясают как сделать чтобы с их айпишников аьбюз не валился. И это стандартные практики администрирования серваков. Как минимум заблочить, как максимум репортнуть атаку правоохранителям и abuse@. Разбираться какое там нечто и что именно сделало с тем айпишником админ уж точно не обязан, не его прерогатива.
> я чего за вас страдать-то должен?".
Сервер - частная собственность. Доступ к нему - привилегия, а не право. Если вы нарушаете работоспособность сервера то вы вообще формально - атакующий. Со всеми вытекающими последствиями.
> Вместо этого товарищ начинает вонять про корпоративный абьюз и
> угрожать лоерами. Витамины пить за него тоже кто-то другой должен?Чисто технически это деяние классифицируется как сетевая атака на инфраструктуру по большинству определений этой активности. А то что оно такое с серваков майкрософта вот случилось - таки, натурально, абуз и сетевая атака. Нарушающая нормальное функционирование сервера и ограничивающая нормальный доступ других людей к нему. А дальше пусть майкрософт либо разбирается с использованием своих серверов для абузивной активностис либо получит по вон тому законодательству со всей строгостью и про лояров чувак и весьма серьезно и имея на то все основания.
> Извините но это не так работает.Как это описываешь ты как раз и не работает.
> Когда Вася начинает делать проблемные действия и сервак валится от нагрузки, его
> начинают называть хакером, ддосером, кракером и волокут в тюрьму. А когда
> это же делается с серверов Майкрософт - предлагается проявить двойные стандарты
> и не рассматривать то что выглядит как явная атака на инфраструктуру
> нарушающая работоспособность сервера как именно атаку?Персонально ты можешь рассматривать это как угодно. Хоть как нашествие марсиан.
В этой истории есть три оленя:
1. Криворукий автор скрипта.
2. "Я не думал, что мне в сервер будут так часто и так сложно стучать, и ничего не сделал заранее" мейнтейнер GMP.
3. "Ой, а чего ж вы такие немодные, одним серваком всё обслуживаете" манясотрудник гитхаба.Молодцы -- все. Но тусовочка как обычно впрягается против микрософта, потому что больше ничего не умеет.
> И это стандартные практики администрирования серваков. Как минимум заблочить, как максимум
> репортнуть атаку правоохранителям и abuse@. Разбираться какое там нечто и что
> именно сделало с тем айпишником админ уж точно не обязан, не
> его прерогатива.Кроме этого стандартная практика -- предпринять меры, чтобы подобных "атак" больше не было, но мейнтейнер GMP гордо отказывается это делать. Поэтому рано или поздно он опять будет страдать, обвиняя в этом кого угодно, но только не себя за свою нерасторопность.
> Кроме этого стандартная практика -- предпринять меры, чтобы подобных "атак" больше не
> было, но мейнтейнер GMP гордо отказывается это делать. Поэтому рано или
> поздно он опять будет страдать, обвиняя в этом кого угодно, но
> только не себя за свою нерасторопность.«ой, а чего ты карате не выучил? ну вот и получил от гопоты. но не смей гопоту обвинять, иди карате учи лучше! как это "другие дела есть"? значит, опять получишь, какие там у тебя другие дела-то могут быть!»
чудесная логика. что характерно: когда прилетает тем, кто даёт другим подобные советы — начинается визг до небес, и обвинение всех вокруг, только не себя.
> чудесная логика. что характерно: когда прилетает тем, кто даёт другим подобные советы
> — начинается визг до небес, и обвинение всех вокруг, только не
> себя.Когда мои проекты периодически ложились от перегрузки запросами (было такое времечко лет 10-15 назад), я молча садился и решал проблему. Ничего ужасного от этого не случилось, прикинь.
молодец, возьми себе дополнительный пирожок. можешь пойти и сделать то же самое безвозмездно вот этому пострадавшему. не? ну и он не хочет. так бывает. неинтересно человеку заниматься администрированием, и нанимать администратора лишних финансов нет. он чисто от своего альтруизма библиотеку полезную пилит, и бесплатно раздаёт — но нет, мало, всегда мало, пусть ещё и прыгает с прихлопом, а то лох.
Нет ничего сложного в том, чтобы сделать зеркало на гитхабе для всех вот этих мамкиных девопсов. Это занимает на порядки меньше времени, чем он потратил на фильтрацию айпишников. Но человек явно настроен на продолжение банкета, наконец-то в жизни происходит что-то интересное, видать. Что тут скажешь — и поделом.
всё-таки мощный у тебя мозговой слизень, никак ты не можешь принять, что: «просто не хочу» — это уважительная и достаточная причина, чтобы что-то не делать. равно как и разозлиться на ддос.что опять характерно: надо кому-то другому, а делать должен пострадавший. мышление халявщика, видимо, неистребимо — даже если человек вроде бы в других областях как-то способен разумно рассуждать.
> никак ты не можешь принять, что: «просто не хочу» — это уважительная и достаточная причинаНе хотеть — его право. Продолжать ничего не делать, чтобы поиметь те же проблемы в будущем — его право. Прыгать с конфигурацией сервера при следующем таком случае — снова его право. Одни сплошные права.
> что опять характерно: надо кому-то другому
Т.е. с твоей точки зрения ему не надо по максимуму исключить в дальнейшем подобные случаи, это надо кому-то другому.
> Т.е. с твоей точки зрения ему не надо по максимуму исключить в
> дальнейшем подобные случаи, это надо кому-то другому.ой, а кто вот это писал: «чтобы сделать зеркало на гитхабе для всех вот этих мамкиных девопсов»? я, конечно, старый, но пока не склеротик, приписать мне свои высказывания у тебя ещё не выйдет.
> Не хотеть — его право. Продолжать ничего не делать, чтобы поиметь те
> же проблемы в будущем — его право. Прыгать с конфигурацией сервера
> при следующем таком случае — снова его право. Одни сплошные права.Более того! Если вам что-то не нравится ВОТ ВЫ ЭТИМ И ЗАЙМИТЕСЬ! Потратив ВАШЕ суперценное время на ублажение майкрософта, со всеми их 2FA и суперкапчами, бзиками вида "ой, у вас другой браузер, введите номер телефона" и прочими чудными маневрами "для вашего же блага" в одностороннем порядке. Нарулите миррор, предложите тому проекту, блаблабла, а когда майки сменят требования в i++ раз или что-то поменяют - извольте быть на месте, чтобы это за майками пофиксить в темпе вальса.
И еще желательно иметь запасной план на случай если майкам станет лень сервить толпы безмозглых девопсов и они забахают лимиты в стиле доскера - а на вас уже вон те подсели что можно долбить и не греть мозг - упс - лыжи встали на асфальт, что же делать?!
> «ой, а чего ты карате не выучил? ну вот и получил от
> гопоты. но не смей гопоту обвинять,Ну вон тот тип вообще за словом в карман не полез, вместо этого как в "маске" - о, тут в кармане клевый ПУЛЕМЕТ завалялся, хахаха. Нате вам с...ки сразу фаером! Вот так всяким козлам сильно понятнее. Банхаммер таки эффетикнвый тул по вправлению вывиха мозгов.
И простите но наколотить команду фаеру проще и быстрее чем #$%ться с майкрософтами, их funcaptcha, 2FA, телефонными номерами и проч. Так что ничего личного, но...
они, кстати, намёка не поняли и пришли рассказывать про то, что кто не покупает сервера помощнее — тот лох. после такого захода лично я бы в принципе любые попытки взаимодействия прекратил навсегда.
> они, кстати, намёка не поняли и пришли рассказывать про то, что кто
> не покупает сервера помощнее — тот лох.Да пусть рассказывают, банхаммеру то похрен на эти блеяния. И вот так сильно понятнее: хотите взаимодействовать - убавьте прыть. ЧСХ это _придется_ сделать чисто технически: если разбан нужен придется идти и договариваться :)
> после такого захода лично я бы в принципе любые попытки взаимодействия прекратил навсегда.
Ну, я бы предложил им этим и заняться. Не подгружая меня - на своих мощностях. А отсюда только тягать сорц, не чаще 1 раза в эн, при превыщении автобан. Потому что быть их CI, обслугой билдферм и проч я не подписывался без явных на то договоренностей.
> Как это описываешь ты как раз и не работает.А вот врать в опенсорсе - не вариант. Выслушивать такие сказки от "эксперта", при том что проект где я был админом бан от апстрима получал, и потом я лично выступал "парламентером" переговаривающим разбан и техническую сторону - сами понимаете. И тут вы такой - не, так не бывает! Да ну ладно, а вон то наверное было моим глюком :)
ЧСХ апстрим банил меня за дело: при выяснении "что такое?" админы были любезны, полезны, дружелюбны и конструктивны. И показали мне данные своего мониторинга. Где я как оказалось превзошел вообще все что было до меня, это был рекорд по IOPS за многие годы существования проекта. И вы уж извините но когда мне кажут "палку" на RRDшном графике и эта палка я, я знаю что был круто неправ. Ну мы вместе и придумали как нагрузку на 2 порядка слить. Они немного подыграли мне, я вместе с ними провел пару экспериментов, стало ЗБС, я на всякий еще частоту синков чутка снизил, и вот так они меня уже развидели в мониторинге.
Этот прецедент дает мне моральное право рассуждать о DOS и DONTS, имхо. Как одному из тех кто ухитрился вынести апстрим в именно таком стиле - что совсем не было частью плана, так что вместо загибания пальцев и рассказов апстриму что они "должны" я пофиксил проблему на своей стороне. И не понимаю какого б хрена апстрим "обязан" ублажать всяких понабежавших, особенно если они безмозгло сервер используют. Понабежавших много а апстрим 1.
> Персонально ты можешь рассматривать это как угодно. Хоть как нашествие марсиан.
1) Нарушение работоспособности компьютерных систем является криминальным преступлением в большей части юрисдикций которые я знаю.
2) Сервера являются частной собственностью их владельцев. Какие правила установили такие и есть. Если что-то кому-то не нравится, он просто не пользуется тем сервером.
3) Это сочетание делает идею насчет лояров и правоохранителей весьма разумной и в меру работоспособной во многих юрисдикциях.
4) Админы не обязаны - и технически не могут во многих случаях - знать какие там у майкрософта аккаунты на их серверах и какая няша с каким аккаунтом вон то учинило. Для таких вещей есть пинок abuse@ и файрвол, а если этого недостаточно то запрос правоохранителям с репортом атаки, натурально. А дальше вон те пусть с своими кастомерами и разбираются если хотят.
5) Апстрим так же не обязан как-то дергаться. Особенно ради тех кто им создает проблемы. Особенно если от них взамен отдачи не было.> В этой истории есть три оленя:
По-моему еще несколько оленей не понимающих базовые взаимодействия еще и на опеннете вписались. Но вы не бойтесь, файрвол борзоту прекрасно лечит. Я проверял.
> 1. Криворукий автор скрипта.
Он как бы источник проблем. Есть еще те кто это запускают. Пардон.
> 2. "Я не думал, что мне в сервер будут так часто и
> так сложно стучать, и ничего не сделал заранее" мейнтейнер GMP.А он никогда и не обещал быть халявным CI для всего глобуса. Если кто берега попутал, вывих мозга легко вправляется банхаммером. Я проверял, это работает. Докер даже массовое тестирование фичи проводил. Они пришли к тем же выводам.
> 3. "Ой, а чего ж вы такие немодные, одним серваком всё обслуживаете"
> манясотрудник гитхаба.Наверное потому что трахаться с их 2FA и "введите номер телефона" желающих так то мало. Многие проекты которые я знаю ушли на gitlab а когда тот стал чудить и вообще на self hosted. Потому что хостинги существуют не для того чтобы под выкрутку рук майкросовтом строиться, внезапно.
Майкрософт уже сказал и сдедал достаточно чтобы я никогда не стал пользоваться их услугами. Пусть их раджи и бодаются с 2FA и вводом номеров телефона "потому что браузер сменили". Я вообще не собирась отчитываться каким-то козлам почему я тот или иной браузер юзаю (или насколько правдив мой юзерагент).
> Молодцы -- все. Но тусовочка как обычно впрягается против микрософта, потому что
> больше ничего не умеет.Если посмотреть начальную часть сообщения ... наверное я некоторые знания приобрел именно на практике. Иначе не понятно откуда я это узнал, у меня не настолько хорошая фантазия чтобы вон те детали придумать, имхо :). И при всем этом да, я считаю что майкрософт в ответе за то что лезет с их серверов. А кто еще? Это их сервера, они там собственник, и это их стезя наводить там порядок. Если они предоставили свои сервера для DoS атак, они могут ответить по закону за выведение из строя чужих серверов атаками, если будут игнорировать такое использование своих мощностей.
> Кроме этого стандартная практика -- предпринять меры, чтобы подобных "атак" больше не
> было, но мейнтейнер GMP гордо отказывается это делать.Он как раз озаботился вроде - занес айпишники MS в файрвол :). А то что ему как owner'у сервера удобнее и проще вот так... ну знаете, а если мне дома удобнее было сделать вон ту стену из гипсокартона, а вы ее хорошим пинком продырявили - наверное, мне логично потребовать оплатить ущерб дому. А вот вы..ны на тему что надо было из кирпича или бетона, чтобы вместо этого ваша нога сломалась - не совсем уместны, да? И если кто так не поймет, правоохранители ему объяснят правила взаимодействия с частной собственностью уже иначе.
> Поэтому рано или поздно он опять будет страдать, обвиняя в этом кого угодно, но
> только не себя за свою нерасторопность.Набрать команду фаеру для отстрела очередного ушибленого на голову девопса много времени не займет. Можно даже скриптик с аналитикой сделать, гасящий абузеров на автомате. Docker как-то так и сделал в результате. С железкой уже не поспоришь, там сперва варнинг потом баня, и попробуй с скриптом поспорь, ему пофиг, он просто забанит абузера и не будет слушать этот булшит. Так господам типа вас понятнее, имхо :)
В кои-то веки внятная адекватная позиция, написанная Анонимом. Подписываюсь под всем, кроме абзацев про 2FA.
> Кроме этого стандартная практика -- предпринять меры, чтобы подобных "атак" больше не было, но мейнтейнер GMP гордо отказывается это делать. Поэтому рано или поздно он опять будет страдать, обвиняя в этом кого угодно, но только не себя за свою нерасторопность.Ну вообще-то он судя по всему именно это и сделал: автоматизировал добавление в фаервол айпишников, с которых делается более десяти клонов в сутки, а также добавил соответствующее предупреждение в "Usage conditions"[1]. Так что вряд ли он столкнётся с этой проблемой вновь.
Я вообще думал, что либо зеркало в git-е организуют, либо раз в сутки тарболл будут делать, ибо делов-то. Но Торбьёрн считает, что при таком расточительном использовании внешних ресурсов в пайплайнах это лишь вопрос времени, когда пайплайны выжрут гигабитный канал[2]. Его же решение с фаерволом -- гарантировано избавляет его от проблемы навсегда. Доля правды в этом действительно есть.
Надо всё же отдавать себе отчёт о том, что современные реалии CI/CD -- это на самом деле зверское расточительство: толпы прикладников пишут пайплайны абы как, и притом совершенно не уважают не то, что чужого труда, а даже альтернативного своему мнения. И я склонен уважать позицию деда против подобного обращения с ресурсами. В конце концов у меня бабка войну прошла, никогда хлеба не выкидывала до самой смерти, а у нас сейчас горбушка подплесневеет -- фигня, выкинем и купим свежего хлеба, вон курьер через 15 минут доставит.
Так что не "фу такими быть", а спасибо им за то, что проложили дорогу нам. Мы нынче с жиру бесимся, а они по-своему правы.
[1] https://gmplib.org/list-archives/gmp-devel/2023-June/006174....
[2] https://gmplib.org/list-archives/gmp-devel/2023-June/006167....
> А мне не нравится та часть сообщества, которая закатывает истерики, валяясь на асфальте и дрыгая ножками.А вот на этот случай есть специальные медицинские препараты, которые могут подавить большую и активную фантазию. Обратитесь к дохтуру, пусть пропишет.
> Тут ниже по треду выяснилось, что ребята используют mercurial, так что в
> целом -- более правильным решением для них было бы на самом
> деле пересесть на git уже; капитально облегчили бы себе жизнь.или если они так привыкли к hg, можно сделать на том же github официальное зеркало и попросить в пайплайнах использовать его.
>> Тут ниже по треду выяснилось, что ребята используют mercurial, так что в
>> целом -- более правильным решением для них было бы на самом
>> деле пересесть на git уже; капитально облегчили бы себе жизнь.
> или если они так привыкли к hg, можно сделать на том же
> github официальное зеркало и попросить в пайплайнах использовать его.Ему это в треде тоже предложили, но он отказался это делать. Типа, с фига ли он вообще должен этим заниматься, лучше почините этот свой гитхаб, а он выше каких-то зеркал.
удивительный человек: не хочет заниматься тем, чем не хочет! ну как так можно вообще: чем хочет — тем занимается, а чем не хочет — тем не занимается! бардак! а вместо этого смеет требовать, чтобы корпорация свой сервис починила, чтобы он не ддосил других. как ему вообще в голову-то мысль такая пришла: требовать что-то от Священных Корпораций? еретик!
> удивительный человек: не хочет заниматься тем, чем не хочет! ну как так
> можно вообще: чем хочет — тем занимается, а чем не хочет
> — тем не занимается! бардак! а вместо этого смеет требовать, чтобы
> корпорация свой сервис починила, чтобы он не ддосил других. как ему
> вообще в голову-то мысль такая пришла: требовать что-то от Священных Корпораций?
> еретик!Моё отношение к этой истории тебе прекрасно известно: все молодцы. Но ты упорно игнорируешь это и продолжаешь говорить с голосами в своей голове. Я в этом участвовать смысла не вижу, вы там без меня прекрасно общаетесь.
Напоследок замечу, что человеку жизнь уроки подсовывает для того, чтобы из этих уроков делались какие-то выводы. Если человек вместо выводов и адекватных действий зажимает уши потными ладошками и вопит "я ничего не хочу решать, я хочу на ручки!", следующий урок может оказаться более суровым.
человек сделал выводы: забанил нафиг дудосеров. придут следующие — и их забанит, не проблема. ну, или плюнет и пойдёт на пенсию отдыхать, а с gmp, серверами и прочей лабудой пусть пляшет кто хочет.а отношение у тебя очень простое: чувак из gmp плохо прыгал, потому лох. я даже где-то согласен: давно пора забить на идеализм и признать, что со «свободным и бесплатным ПО» ничего толкового не вышло, только халявщики расплодились. для прояснения: «халявщик» — это не тот, кто просто взял и пользуется, а тот, кто взял, пользуется, и ещё требует от автора правильно подпрыгивать. или явно, или неявно, как ты. совершенно классическое «самадуравиновата». вот поэтому я перестал участвовать в открытых проектах других людей, а свои не афиширую.
> DockerHub ввёл pull rate limit-ы. Они тоже истерички, надо полагать?Докер ввел rate limit для всех. С предварительным уведомлением и временем на адаптацию.
И с очень легкими ограничениями - "100 pulls per 6 hours per IP address".
Плюс адекватная ошибка - отдает 429 при достижении.
Поэтому DockerHub не истерички, будь как DockerHub!Ну а что тут - начал кричать что это атака, что это все козни майкрософта и поэтому забанили все (известные им) подсети.
Причем так, что даже мэйл не дойдет ("That means that email will likely not reach us." из первого сообщения в рассылке).Т.е. вместо того чтобы просто признать, что они просто обосрамс - слабое железо (пришлось отдать целых восемь гигов за все время "атаки"!) + отсутствие элементарного анти-ддоса - они начали винить всех остальных. Впрочем, ничего удивительного.
Может просто денег хочет?
> Вот вам и хардкорные олдскульные программеры.Не то что современные девляпсеры, которые не осилили поднятие своего кэширующего сервера для размещения всех нужных исходников пайплайна на начальном этапе. Так что поделом, а "хардкорным олдскульным программерам" (как и любым другим админам) лучше для всех управляемых сервисов поставить ресурсную квоту.
и всё равно порезать файрволом доступ со всех «облачных сервисов» и корпоративных подсетей. как я на своём сервере и сделал — после чего ВНЕЗАПНО! оказалось, что никакие апгрейды не нужны. патчей и багрепортов оттуда за всё время, пока было непорезано, пришло всё равно ровно 0 штук.
Мы точно не знаем, может эта дикая нагрузка для него выливается в конкретный счет за услуги, которые он должен будет оплатить потому что кто-то решил "и так сойдет".
И потом, я так понимаю что виновник торжества не проявляется и продолжает долбить как дятел и дальше, что говорит как минимум либо о спеси либо непроницаемости.
Выглядит как битва Давида с Голиафом. Незадачливый разраб на гитхабе и не предполагал всей мощи тестовой инфраструктуры майкрософт, когда привязывался к хилым репах GMP.
Доступ по логин/паролю, ratelimit на аккаунт.
Регистрация открытая всем.Оборотная сторона легковоспроизводимых окружений в вот такой неряшливости и небрежности со стороны ленивых погромистов. Думать надо головой. Ну возьми ты и сделай зеркало для себя, если у тебя такая нагрузка. Тебе никто не должен 100х от рассчитанной на одно лицо нагрузки каждый раз, когда ты закоммитишь.
> Отправка за несколько часов десятков тысяч запросов,
> многие из которых выполняют команду клонирования репозитория,
> требующую сжатия содержимого, не может считаться легитимной.
> Всего в рамках наблюдаемой активности было отдано около 8 ГБ
> сжатых данных и запросы продолжают поступать,
> что неприемлемо, поэтому блокировка
> сетей Microsoft пока не будет убрана.Целых 8 Гб данных за несколько часов с сервака который и должен раздавать данные
Даже не предполагал что у гнутых настолько мусорное оборудование( примерно уровня селерона, подключённого к сети )
Странно лишь то что сжатые данные репы не кешируются и каждый раз по новой сжимать надо. Это похоже на косяк программистов гх
> Даже не предполагал что у гнутых настолько мусорное оборудованиеПомочь оборудованием вместо пердежа в лужу не желаешь?
Вперед, анон, на выручку. Стань для других примером и источником воодушевления. Фотки чеков потом сюда можешь скинутьМне же лично совершенно наплевать на контору и ни копейкой ей помогать, разумеется, не собираюсь. Но и она мне не поможет по случаю чего.
Удивляет, разве что, что у них даже такие мизерные нагрузки как перегрузка воспринимаются
Вообще никогда бы не подумал, что для общеизвестных и общедоступных проектов отдача нескольких гигабайт за несколько часов - это просто ппц как тяжко и ддосно
Похоже, что там просто какие-то ослы сидят, заслуживающие не донатов и кучи техники, а хороших пинков, чтобы зашевелились наконец и задумались хотя бы о кешировании если дохлый проц не тянет даже архивации
> Удивляет, разве что, что у них даже такие мизерные нагрузки как перегрузка воспринимаютсяHG же, питоннетормозит. Всякие гитхабы и гитлабы этот якорь предусмотрительно выкинули, но на своем self hosted это ж не зафорсишь. Но если вам что-то не нравится, вы в своем праве не пользоваться тем софтом, их серверами и проч. Ваш доступ к их серверу вообще привилегия а не право. И так было всегда, с самого зарождения интернета.
Сервер - частная собственность его владельца. Хочет - пускает вас. Не хочет - вот вам заряд дроби^W^W банхаммер по башке. И попробуйте оспорить.
да пофигу на hg. ну, нравится человеку (или лень переходить на что-то другое, пока это работает удовлетворительно). проблема же не в hg, а в том, что заместо держать локальную копию репозитория и брать из апстрима только новые коммиты (что, в принципе, недорого даже если три сотни дятлов за ними ходить будут, главное чтобы регулярно) — качают тарбол головы (или полный срез головы, что не особо отличается в данном случае). и вот это уже задница для любой dvcs. даже если тарболы кэшировать — всё равно как минимум нагрузка на канал, на порядки большая, чем вытащить несколько новых дельт.
> да пофигу на hg. ну, нравится человеку (или лень переходить на что-то
> другое, пока это работает удовлетворительно).Ну я как бы для себя предпочитаю не взаимодействовать с hg. Для меня это как бы критерий "апстрима который стоит избегать". Потому что если кто пользуется этим - я знаю что мне не зайдет их workflow. Однако даже это - не повод к активному DoS-у... я все же вижу разницу между пассивным сопротивлением и откровенной агрессией.
> проблема же не в hg,
КМК в случае Git он бы на порядок-два больше вывез до того как крякнуть, так что болевой порог был бы сильно ниже. За счет этого всякие notabug/srht/codeberg живут на достаточно умерерном железе и худо-бедно сервируют немало народа уже (вы...ны гитхаба и гитлаба очень тому способствовали). Но в конце концов, есть то что есть и если кто считает что знает как надо - ОНИ ЭТО И ИМПЛЕМЕНТЯТ, имхо. Это, кстати, даже работает, я проверял :)
> тарбол головы (или полный срез головы, что не особо отличается в
> данном случае). и вот это уже задница для любой dvcs.В гите при этом вроде можно просто целиком содержимое .git скачать и это чуть не как сервировка статики при полном clone делается. Там это может быть и весьма дешевой операцией вроде. Тем не менее, грузить апстрим сотнями трафика все равно не есть хорошо. Тут эн гиг на козла в час, там эн гиг, ... а оплачивать потом эти терабайты кто должен, когда чрезмерно резвых козлов окажется много?
> даже если тарболы кэшировать — всё равно как минимум нагрузка на канал,
> на порядки большая, чем вытащить несколько новых дельт.Ну да, и трафик тоже "бесплатный" лишь с бааааааальшими оговорками. Если постоянно дофига терабайтов гнать - нифига это не бесплатно уже. Ну а всякие доскеры, хабы и лабы при случае объясняют это зарвавшимся девопсам банхамерами, лимитами а то и просто убиранием фичи. Ну вон gitlab CI вообще очень сильно порезал. Вою было на весь интернет. Половине прищлось свои мощности изыскать под свои аппетиты вообще. Так честнее как-то.
> Ну я как бы для себя предпочитаю не взаимодействовать с hg. Для
> меня это как бы критерий "апстрима который стоит избегать".дык гит тоже не сказка так-то. особенно во время оно, когда он был ещё большей рассыпухой кашеобразных скриптов. вполне понимаю людей, которые на это посмотрели и решили: «да пусть бидон, оно хоть как-то приличней выглядит.» а потом менять уже хлопотно, оно работает — и ладно.
> В гите при этом вроде можно просто целиком содержимое .git скачать и
> это чуть не как сервировка статики при полном clone делается.раньше всё было плохо, всё равно что-то перепаковывал (как минимум что-то там ковырял). я особо не разбирался, правда, что, а сейчас и подавно не знаю, несколько лет уж гитом не пользуюсь.
> выглядит.» а потом менять уже хлопотно, оно работает — и ладно.Ну, для меня оно работало - и уже тогда недурно, потому что делался все же Торвальдсом. А тот может структуры нормальные выбрать и критичные куски на сях нормально оформить. А не так что сперва накодим, потом подумаем как надо было: переписывать проект с ноля при факапе архитектуры и структур данных, с потерей совместимости - очень тяжко. Этим Торвальдс (и любой приличный мощный кодер) от хайпующих питонистов и отличается, имхо.
> раньше всё было плохо, всё равно что-то перепаковывал (как минимум что-то там
> ковырял). я особо не разбирался, правда, что, а сейчас и подавно
> не знаю, несколько лет уж гитом не пользуюсь.По-моему там при полном clone можно просто .git скачать по http(s) как вариант. Если оно так то там особо тормозить нечему.
структуры данных у гита отвратительные: они вон еле-еле недавно запилили фичу, чтобы по истории комитов взад елозить было не так больно. потому что гит — не система управления версиями никакая, а так: архив патчей. торвальдс на коленке сляпал, что ему надо сделал — а остальное не надо, он и не делал. хайпануло, в принципе, исключительно за счёт величины проекта, в котором применено. то, что умеет тот же fossil из коробки и шустро — гит еле-еле и со скрипом осиливает с кучей внешних примочек. я уж не говорю о том, какое удовольствие развернуть гит на той же винде (ну мало ли, надо иногда). в отличие от фоссила, где один бинарь, который действительно Просто Работает. а уж о штуках типа `fossil all pull` гитовцы до сих пор и не мечтают.
> структуры данных у гита отвратительные:Все познается в сравнении. У остальных проблем было еще больше.
> они вон еле-еле недавно запилили фичу, чтобы
> по истории комитов взад елозить было не так больно.Да для меня и так недурно пахало, и это при том что я git bisect на штуках типа линукскернела гоняю чартерными рейсами. А то что стало еще лучше, ну, ок, я только за :)
> потому что гит — не система управления версиями никакая, а так: архив патчей.
Если нечто выглядит как DVCS и работает как DVCS мы называем это DVCS. А напоминает оно нечто типа упрощенной версионирующей ФС, чтоли.
> счёт величины проекта, в котором применено.
Хайпануло потому что работало так как многие из нас этого и хотели, так как мы это себе представляли. Для меня это весьма интуитивный и мощный тул, подыгрывающий мне. Говорят что дома стены помогают. Я чувствую себя дома с этой технологией. Это как продолжение меня.
> то, что умеет тот же fossil из коробки и шустро — гит еле-еле и со скрипом
> осиливает с кучей внешних примочек.Лично мне не требуются всякие вики и чего там еще в DVCS. А вот именно мотание по версиям гит обеспечивает мне на все сто. Это работает, я проверял - я несколько багов в линукскернеле помог загасить в том числе и лично оттрекав до проблемного сегмента кода bisect'ом. Это как раз квинтэссенция DVCS. Я говорил что это было кайфово и круто? :)
> я уж не говорю о том, какое удовольствие развернуть гит на той же винде
У меня уже цать лет нет винды и я не знаю как оно там. Мне от майкрософт реально ничего не надо. Все мои технологии построены вокруг Linux.
> (ну мало ли, надо иногда). в отличие от фоссила, где один бинарь, который
> действительно Просто Работает.Мне все-равно что там в винде. Для меня вон то не является достоинством, а упрощение втягивания виндовых кодеров для меня не велкам т.к. рушит комфортный для меня климат в проекте, я не люблю кодеров с MS-style мышлением. Предпочитаю опенсорсников понимающих пойнт опенсорса. Ты имхо понимаешь о чем я.
> а уж о штуках типа `fossil all pull` гитовцы до сих пор и не мечтают.
Git не инструмент для виндовых тупарей. Это фича, а не баг вообще. Но между нами, его освоил даже вон тот манагер с маком, и хоть это и из-за гихаба было, но если даже он так может - я себя просто человеком чувствовать не буду если не смогу переплюнуть такой технический "уровень".
>> структуры данных у гита отвратительные:
> Все познается в сравнении. У остальных проблем было еще больше.именно поэтому товарищ Hipp посмотрел на бардак — и сделал fossil. для особо страждущих даже привинтил фичу зеркалирования в гит одной командой.
>> а уж о штуках типа `fossil all pull` гитовцы до сих пор и не мечтают.
> Git не инструмент для виндовых тупарей.ты сейчас напоминаешь пользователей айфончика, которые кричали, что копипаста не нужна, ведь в айфончике её нет. только ещё хуже, потому что ты даже не в курсе, что делает эта команда.
> именно поэтому товарищ Hipp посмотрел на бардак — и сделал fossil. для
> особо страждущих даже привинтил фичу зеркалирования в гит одной командой.Я все же не понимаю какие задачи он решал. Может потому что я не "страждущий" если мы про гит, он как раз мне логичен, понятен и обычно делает именно то что я себе представлял. А у Торвальдса крутые и эффективыне воркфлоу ИМХО.
> ты сейчас напоминаешь пользователей айфончика, которые кричали, что копипаста не нужна,
> ведь в айфончике её нет. только ещё хуже, потому что ты
> даже не в курсе, что делает эта команда.Я догадываюсь. Но для моих сценариев это врядли сильно актуально. А что до простой установки в винде - я как раз не хочу взаимодействовать с виндовыми кодерами, которым дескать упростили установку, блаблабла. Для меня это как раз баг скорее, я не люблю их (полу)проприетарный настрой, так что если хочется меня развидеть, достаточно притащить в проект побольше таких.
Реалистично же мне от DVCS мне надо "D" чтобы не лизать ботинки всяких, и "VCS" чтобы мотаться по версиям софта. В гите это все есть и в целом неплохо работает. И для "D" у него есть достаточно забавные варианты, скажем "git bundle" вообще позволяет мне дельту оформить как бандл и как я его там перекину - да мои проблемы, хоть флопинетом. Я даже пару раз так делал - посылая бандл через штуки типа месенжеров другим кодерам, и из него таки можно "pull". При том оно и мелкое и с всей историей комитов дельты и как бы "репа" по тяганию из него. А твое нечто так умеет? Это про то чтобы "D" не было пустым звуком как раз и был возможен воркфлоу без центральных серверов как таковых.
> Я все же не понимаю какие задачи он решал.делал себе штуку для разработки SQLite. примерно как торвальдс себе для ядра.
> я не "страждущий" если мы про гит, он как раз мне
> логичен, понятен и обычно делает именно то что я себе представлял.
> А у Торвальдса крутые и эффективыне воркфлоу ИМХО.а мне как раз никогда не нравилось ни то, ни другое. и я всё ещё считаю, что вики проекта, багтекер и релиз-нотисы должны быть в репозитории проекта, и клонироваться вместе с ним. что помимо прочего даёт ещё и distributed bugtracker, гыг.
> скажем "git bundle"
> А твое нечто так умеет?из коробки, с первых релизов практически. можно в бандле полазить и посмотреть, что там, из комстроки. а можно бандл примонтировать к открытому репозиторию (ну да, у нас фоссил, мы можем открыть репозиторий в куче разных каталогов, на разных срезах), собрать это, повертеть, потом коммитнуть в основной репозиторий полностью или частично. чего в гите сделать в принципе нормально невозможно, потому что извольте сидеть в одном каталоге, и в нём же переключаться между бранчами, тэгами и всем прочим. или делать клон репы, если захотелось в другом каталоге, и потом вручную их синкать. вроде бы в новых версиях до индейцев наконец дошло, и что-то для открытия в разных каталогах пилили, но вряд ли у них это нормально получится.
> о штуках типа `fossil all pull` гитовцы до сих пор и не мечтаютОдновременный пулл всех репозиториев -- не то чтобы киллер-фича.
Fossil как VCS не выстрелил по простой причине: он хранит данные в sqlite, и следовательно подвержен деградации производительности по мере роста репозитория.
> Fossil как VCS не выстрелил по простой причине: он хранит данные в
> sqlite, и следовательно подвержен деградации производительности по мере роста репозитория.спасибо, я поржал. ещё один Ыксперт — как по скулиту, так и по фоссилу.
Вы слкчайно не путаете с раздачей торрентов?
> Тебе никто не должен 100х от рассчитанной на одно лицо нагрузки каждый раз, когда ты закоммитишь.Мы говорим о всего лишь 8 ГБ (!), переданных за несколько (!!) часов (!!!). Сколько там цена переданного гига по сети через оптоволокно? Ну, хотя бы GPON?
ОКей, допустим, у них клонирование репозитория хватает пару миллионов тактов процессора и 10 МБ оперативки. Если ГНУши до сих пор организовывают серверы на Пеньках 2005 года, то это их проблемы, не?
Нет, это твои проблемы, что тебя забанили.
> Нет, это твои проблемы, что тебя забанили.Собственно, это всё, что нужно знать, если связываешься с ГНУтыми. Выводы очевидны.
совершенно верно, выводы очевидны: у халявщиков опять истерика — халяву отбирают!что характерно: ни один халявщик не сказал, что купит проекту серверов побольше и помощнее, что будет их админить бесплатно. зато ноют, что гну халявы мало даёт.
Зачем донатить из своего кармана, если крупные корпорации типа Майкрософт уже и так всем донатят? Гитхаб и так бесплатен. Но аутистам всё мерещатся заговоры.
> Зачем донатить из своего кармана, если крупные корпорации типа Майкрософт уже и
> так всем донатят? Гитхаб и так бесплатен. Но аутистам всё мерещатся заговоры.Бесплатность там весьма условная. Множество strings attached. Fun captcha не работает с Tor, смена юзерагента - вызывает "введите номер телефона", там 2FA добровольно-принудительно грозятся внедрить всем в глотки "на всеобщее благо". И это далеко не первое "улучшение" после покупки майкрософтом.
Лично я вообще не понимаю зачем столь гиморный, спайварный и неудобный хостинг нужно. Даже бесплатно это кусок проблем. От майкрософта ничего кроме гадостей не дождешся, имхо. И строиться под причуды их маркетинга и манагерья которые где-то прочитали что 2FA круто - ну вы и стройтесь, имхо. А я лучше в свободное время вон там в каде порисую, попрогаю, и проч. Правда я и в остальное время примерно это же делаю, но вот тратить мое время и силы на разбирательство с заскоками M$ и прогибон под них мне как-то не с руки, пусть их адепты это сами как-нить изволят.
И да, благодаря вон той политике - с гитхаба свалило немеряно проектов которые у меня на виду. Они стали неудобным и гиморным хостингом, такая ерунда.
>смена юзерагента - вызывает "введите номер телефона"Одна история офигительнее другой просто. Требую скринкаста, где именно телефон GitHub требует.
На самом деле повторную верификацию через почту вызывает не смена юзерагента и даже не его фингерпринта (фингерпринтинга при логине как такового нет), а отсутствие долговременной куки, которая ставится как раз при прохождении верификации через почту. Если ты сохранишь эту куку и поставишь её при последующих логинах, то ввести код, присланный на почту, от тебя требовать не будут.
> Одна история офигительнее другой просто. Требую скринкаста,Не получится уже. У меня были пару аккаунтов, но я давно их забросил, потому что давно перешел на менее проблемные хостинги. И теперь пароли и почты оттуда не воспроизведу уже.
А новый акк для тестов сделать мне не даст та самая funcaptcha, которая принципиально не работает через tor. Снять тор в этой структуре технически невозможно, прямой конект не предусмотрен принципиально. Так что видите, я не вру говоря что гитхаб неудобный мне хостинг.
> Если ты сохранишь эту куку и поставишь её при последующих логинах,
Этого не произойдет никогда - вся инфрастуктура которая что-то делает с вебом временная, stateless, и так в принципе не умеет. Как раз для срыва трекинга, представляете?!
Знаете что, а попробуйте лучше предложить капитану звездного крейсера из sci-fi снять силовое поле щитов и прицепить вон тот маячок на крейсер. Примерно то же самое по смыслу, примерно настолько же безопасно выглядит. Если что для меня MS - UNtrusted authority.
>грозятся внедрить всем в глотки "на всеобщее благо"Последнее китайское предупреждение это.
Полгода прошло - а ничего нету.
>От майкрософта ничего кроме гадостей не дождешся, имхо.Почему-то рекордсменом по гадостям является GitLab inc. с их свободным Столлмано-угодным ПО GitLab. Что-то никому из владельцев сторонних инстансов не упёрлось поддерживать свой форк без гадостей, внедрённых GitLab inc. Что желающих пользоваться GitLab.com не убавляется не смотря на включённые ими вредоносные скрипты от Cloudflare. Что ещё раз говорит нам, что населению нужно не СПО, а "халява".
>бесплатенУмные люди такое слово не употребляют. А кто девушку ужинает, тот её и танцует, и в постели "танцует".
> Зачем донатить из своего кармана, если крупные корпорации типа Майкрософт уже и
> так всем донатят?а, так m$ предложило подарить проекту gmp сервера и платить за их обслуживание? что, нет, не предложило? а как так случилось, они же «всем донатят»…
> Гитхаб и так бесплатен.
каким боком это касается тех, кто гитхаб не использует?
>Отправка за несколько часов десятков тысяч запросовхорошо, предположим в среднем 10к запросов в 1 час, это порядка 3(2,7) запроса в секунду
>многие из которых выполняют команду клонирования репозитория, требующую сжатия содержимого
будем считать что 1 из 3-х запросов это команда клонирование+сжатие
то есть, в течении нескольких часов, пока не заблокировали, тебе каждую секунду прилетают "тяжеловесные" запросы "с нескольких сотен IP-адресов", и это помимо обработки запросов со всего остального мира.
Я даже удивлён почему они после получаса такой фигни их не блоканули.
>I keep adding more and more Microsoft subnets to the firewall rules.А мог бы просто все их автономные системы забанить.
У меня была мысль, что кто-то из девов майкрософт прибиндился к репам проекта. хотя кто в это поверит )
При условии что мелкософт правильно нашли источник проблемы, интересный вопрос кто виноват. Чувак агрится на мелкософт, но с условного гитлаб.ком ничего не мешает такое же начать слать - там раннеров тоже хватает. Чья это забота вообще, аккуратно дергать ресурсы. Все уже привыкли что гитлабы и гитхабы эластичные и дури там много.Далее, там развивается драма - остроконечники против тупоконечников - мощный сервер против elastic/autoscaling infra.
MS (вероятно намекая что проект вообще сделан по дидовски и даже не в облаке):
> GMPLIB appears to have limited infrastructure that could not sustain the limited, yet simultaneousrequests.
Автор(ы):
> Our machine is pretty powerful, it is a server class machine with manycores and lots of RAM, and its connection is 1 GbE at a top class data
centre.
> ...
> This is NOT legitimate use of any server on the Internet. Your replyseems to suggest that it is our fault, that we ought to have more
powerful servers to accommodate this behaviour. Really?
Профилирования трафика с домена майкрософт нет у него? Если выложены репы - будь готов к нагрузкам. Если это разработческие репы, то от туда и надо ждать удар. Чукак не предполагал мощи тестовой инфраструктуры гитхаба, а то бы спрофилировался от домена майкрософта.
> Если выложены репы - будь готов к нагрузкам.отличная логика. вывод: ничего не выкладывать. а то чо он: не может бесплатно ещё и на m$ поработать, гнида?!
ЧСХ, на линкедине Торбьёрн гендерно идентифицирует себя как "expert in time critical and security critical software."
> ЧСХ, на линкедине Торбьёрн гендерно идентифицирует себя как "expert in time critical
> and security critical software."Одно другому не мешает же. Легко может быть что в его пузыре репы по 100 раз никто не качает а ставит локальное зеркало. Объёмом трафика с какого-нибудь докерхаба или там Nix человек не интересовался, просто потому что не мог представить что так могут сделать.
Тут как раз не вижу проблемы.
Ну, начать нужно с того что кто последний раз ставил ключ на выкачивание последнего коммита, а не всей репы в каких-нибудь Github Actions. Объём трафика на kernel.org даже боюсь себе представить.Он борется с ветряными мельницами и эта борьба заранее проиграна.
Хотя поставить rate limit вполне можно. Это, наверное, единственное что он может сделать.
И кончится тем что он будет давать доступ к репе дедовским методом, огороженно и только по запросу, может быть даже письменному, на гербовой бумаге с мокрой печатью.
Так будет конечно намного "удобнее", зато можно будет продолжать тыкать "сам дурак".
> И кончится тем что он будет давать доступ к репе дедовским методом,
> огороженно и только по запросудавно пора. вообще, это единственный способ спокойно пилить проекты без нашествия летних детей с гениальнейшими идеями.
Попробуй у корпорации скачать софт без регистрации, капчи и прочих квестов в меню.
> ЧСХ, на линкедине Торбьёрн гендерно идентифицирует себя как "expert in time critical
> and security critical software."Так не врет же: если перестрелять всяких п...сов фаером, станет безопасно :)
> Расходимся.Здесь, как в капле воды, отражается проблема сосуществования в интернете селфхостеров и инфраструктурных гигантов.
О нет! Один скриптик нагнул целый сервак гнутеллы!
У них там четвертые пентиумы стоят что ли?
Вообще-то мощьнве серверные квадкоры!
Ахаха, "This is NOT legitimate use of any server on the Internet."
Чуваки выставили свою репу голым задом в интернет, а теперь верещат что "эта ничесна!!!11".Защиту от ддос они не думали прикрутить? А то так любой скрипткидди сможет положить им репу.
Или в их времени ее еще не изобрели?
Опенсорс за капчу не посадишь. Ну и нечего тогда лезть в селфхостед, раз не вытягиваешь. Мало ли зачем мне надо 10000 раз в час скачать файл из интернета, это не так и много. Если ты там архивируешь дерево на каждый запрос это не моя проблема.
> это не моя проблемаНу вот из-за таких вот остолопов, как ты, мы теперь в каждой инфраструктуре вынуждены поднимать кэширующий докер регистри. =)
А то развели тут... "Мало ли зачем мне надо 10000 раз в час скачать докер имидж с докерхаба, это не так много, и это не моя проблема". =)
Видите, как легко проблема может стать не просто вашей, а проблемой всего сообщества? Уважайте блин труд других людей.
> Ну вот из-за таких вот остолопов, как ты, мы теперь в каждой
> инфраструктуре вынуждены поднимать кэширующий докер регистри. =)И GitLab залимитировал CI так что для многих опеносорсных проектов на виду как раз и не хватило и пришлось на селфхостинг переходить. Зато вот так вон тем господам будет явно понятнее. Посмотрим как они на каждый комит погоняют CI теперь.
Тут была иная причина. Все облачные провайдеры CI/CD лимитировали это дело примерно одновременно 2-3 года тому назад из-за того, что активизировались майнеры. Они просто приходили и запускали сотни пайплайнов с майнилками, чем выжирали абсолютно все ресурсы пулов провайдеров. И все делали закономерные шаги: сначала резали их руками, потом резали их по имени процесса, и закончилось всё введением лимитов.
> Тут была иная причина. Все облачные провайдеры CI/CD лимитировали это дело примерно
> одновременно 2-3 года тому назад из-за того, что активизировались майнеры.Я знаю и эн вполне "легитимных" ДЛБ решивших показать псино-девам мастеркласс, и развесившим сотни "легитимных" джобов каких-то барахольных одноразовых проектов, где оно вкалывает иной раз часами, с полным фаршем, пускается часто - и это как бы "легитимно" - в том смысле что оно ни разу не майнер, а вполне себе "девовская" фигня для проекта вида "я и моя ср@ная кошка". Денег с них разумеется как с козла молока. Вон тут парочка представителей направление тусит, видные кандидаты на затаривание банхаммером, ффмпег раз в час ребилдить им медленно видите ли (у них такая жесткая обсессия на ffmpeg'е и его разработке?!). Ждать их величествам не катит. Ну тогда пусть и оплатят банкет. Гитлаб таким и объяснил куда пойти с такими соотношениями. А то что они не майнеры - да кого это ... если почти постоянно грузит серваки, не платя ни цента? Можно подумать гитлабу большая разница, майнер их грузит или долбоклюйский нуб решивщий закосить под "типа, девопсов" с "best practices" (от таких же длб) с полным фаршем и обсессией ребилдить весь мир каждые 5 минут.
> Они просто приходили и запускали сотни пайплайнов с майнилками, чем выжирали абсолютно
> все ресурсы пулов провайдеров.Да я примерно таких и без всяких майнеров знаю, пинали тяжелые пайплайны оптом "потому что могут". Ну халява и стала заканчиваться. Получить прогруженый в полку сервак за $0 в конечном итоге мало кто захочет.
> Ну и нечего тогда лезть в селфхостед, раз не вытягиваешь.Эх, сразу видно что интернет 90х ты не застал. Тогда бы знал, что селфхосты работают через зеркала. Это просто совершенно разная философия. Селфхост - это тот, кто хочет поделиться информацией с миром.
Промышленный хостинг - это коммерческие проекты, который зарабатывают на посетителях, и на это покупают серверное время. Даже если не продают никаких товаров - они продают пользователей. Поэтому такие проекты всячески борются с копированием контента - плавающая разметка, запрет на Ctrl-C (никого всерьёз не остановит, но всё же), генерация контента скриптом. Т.е. реально тратится время программистов и серверов, чтобы предотвратить дублирование, ведь пользователи - это деньги.
А вот селфхост не ставит цель заработать на пользователях. Поэтому возможности серверной инфраструктуры ограничены, но никто не мешает делать зеркала, даже наоборот помогают - высылая обновления в удобном виде.
И интернет в таком некоммерческом виде вполне себе жил и саморегулировался. Больше популярности - больше зеркал.
> это не моя проблема.это твоя проблема. а человек *свою* проблему решил: заблокировал подседки. единственно правильное решение с учётом «немоихпроблемщиков».
Правильно, нечего пользоваться кодом. Но зачем тогда вообще размещать его в сети? Запиши на дискету и положи под подушку. Или ещё лучше на флешку и в задницу себе засунь, тогда точно никаких проблем.
свои эротические фантазии ты мог бы оставить при себе.хочет — и размещает. хочет доступ ограничивать — ограничивает. кто недоволен — может требовать назад свои деньги. сечёшь?
Действительно, я усмотрел тут кейс для gpl-violations. Пожалуй, сейчас составлю письмо им и спрошу, правомерно ли ограничивать доступ подобным образом.
И в SFC заодно. Какие ещё правозащитные помойки есть, EFF? Меня очень задевает препятствование осуществлению законных прав, не для того мы по GPL упарывались.
> Действительно, я усмотрел тут кейс для gpl-violations. Пожалуй, сейчас составлю письмо
> им и спрошу, правомерно ли ограничивать доступ подобным образом.ну пиши, пиши. может, они тебе распедалят, что такое GPL — так, чтобы ты понял, а то прочесть самому — задача явно непосильная.
Именно, будь это пермиссивная лицензия, то всё в рамках закона. А тут явные саботаж и самоуправство, никак не согласующиеся с выбранными условиями. В результате, пользователи понесли убытки из-за выбранной стратегии. Таких умников только рублём наказывать.
> Именно, будь это пермиссивная лицензия, то всё в рамках закона. А тут
> явные саботаж и самоуправство, никак не согласующиеся с выбранными условиями. В
> результате, пользователи понесли убытки из-за выбранной стратегии. Таких умников только
> рублём наказывать.Конкретнее, склифосовский, какие пункты кто и где нарушил?
> Действительно, я усмотрел тут кейс для gpl-violations.Перечитай внимательно. Распространение исходников требуется только при распространении продукта. Если тебя забанили по IP, то ты ни продукта, ни исходников получить не можешь. А значит лицензия не нарушена.
он сюда не охотиться пришёл, ему знать неинтересно, ему интересно танцевать.
Продукт я получил ранее, теперь мне нужны исходники.
> Продукт я получил ранее,1) От кого получил, от того и требуй, не?
2)
>> работ для тестирования сборки
> ПродуктРука-лицо.
> теперь мне нужны исходники.Подскажи, где именно там в лицензии прописано, что тебе должны предоставить возможноcть скачать исходники минимум сколько-то раз в секунду.
> Перечитай внимательно. Распространение исходников требуется только при распространении продукта.ЕМНИП, либа в виде бинарника самими gmp-цами и не распространяется.
А вот тут интересно, как это работает. Там, вроде, если исходники опенсорсного гпл-компонента не модифицировались, поставлять свою копию производитель продукта не обязан. Или то было про LGPL?
Кста>Dual LGPLv3 and GPLv2
> Опенсорс за капчу не посадишьПочему?
Хотя при чём тут капчи. Обычно делается типа так, что если скачивают раз с одного IP, то отдаешь быстро, второй раз - тоже, в третий - уже сильно режешь скорость.
Так вроде у самого MS на GitHub.
Потому что скрипты на такую подставу не рассчитаны. Когда вместо файла отдаёт страницу, это как вообще? Скорость резать можно сколько угодно, только это максимально бредовая затея и она скажется на том, кем тебя будут считать пользователи. И, насколько я понимаю, проблема изначально не в доступе с 1 айпи, а в доступе с миллиона айпи, что ситуация максимально естественная.
> И, насколько я понимаю, проблема изначально не в доступе с 1 айпи, а в доступе с миллиона айпи, что ситуация максимально естественная.Вроде нет, пайплайн идёт не так уж распределено.
> Скорость резать можно сколько угодно, только это максимально бредовая затея и она скажется на том, кем тебя будут считать пользователи
Ни разу не натыкался на жалобы на github, по типу "я в третий раз делаю git сlone и почему такая скорость!!!".
> Ни разу не натыкался на жалобы на github, по типу "я в
> третий раз делаю git сlone и почему такая скорость!!!".Это жиза, скрипт умеет только clone и очищает мусор на фейле, а компиляция внезапно обламывается. Исправляешь его со второй попытки и сидишь ждёшь, спасибо МС, очень приятно.
> Защиту от ддос они не думали прикрутить? А то так любой скрипткидди сможет положить им репу.Надеюсь, эти какиры ходят по улицам в закрытых шлемах с капой во рту. А то ведь любой админ может вычислить их по айпи и настучать по репе.
И памперс не забывай надевать - вероятность внезапно обделаться всегда есть
Вот они и защитили. Что ж ты ноешь теперь?
Кто ноет? Я так, посмеяться зашел.> Вот они и защитили
Нифига они не защитили. Они !вручную! забанили несколько диапазонов адресов. И все.
Это не защита от ддос. Если бы их действительно ддосили, то никаких диапазонов не было бы и они бы замахались баннить по одному адресу. Ну и разумеется это должно делаться автоматически, а не ручками.
> Защиту от ддос они не думали прикрутить?Ну вот некоторые сайты прикрутили клаудвафлю, так что пользоваться стало невозможно. Во-первых, каждый пятый запрос вместо сайта - заглушка. Во-вторых, сайты просто не рассчитаны на ddos-защиту, построены по динамическому принципу, постоянно что-то подгружают яваскриптом, и это что-то не грузится из-за ddos защиты. Я вот перестал author.today из-за этого пользоваться, теперь только качаю книги локально на комп и читаю десктопным приложением.
Заметно, что ты не только не знаешь как Клаудфлэр работает, но и как сайты в интернете устроены. Качай, вася.
> Ну вот некоторые сайты прикрутили клаудвафлю, так что пользоваться стало невозможно.Клауспайвара сама по себе никак не поможет от "app-level DoS". В случае git/hg/etc - каждый запрос по своей природе динамичен и подразумевает кастомный обсчет на стороне вот именно appserver. Вашего. Потому что клаудспайвара в душе не е...т какая там логика, что за данные на вашем app-server'е (например какие коммиты в проект и проч).
Поэтому "глупое" кеширование такого плана - не вариант. Только "умное" когда мы явно знаем что это - репа, вон того апстрима, из нее аккуартно и редко миррорим изменения, а тысячами запросов долбаем уже локальную копию этого, оно даже если и встрянет, это уже не проблема апстрима.
> Отправка за несколько часов десятков тысяч запросовНесколько часов это сколько? Ну допустим три часа. Десятки тысяч запросов это сколько? Ну пусть будет 100 000. Всего около 10 запросов в секунду
> многие из которых выполняют команду клонирования репозитория, требующую сжатия содержимого
А что там с кешированием?
10 раз в секунду просить сжать репу.
А она что, жмется каждый раз заново? Если так, то что-то явно не ладно в датском королевстве.
>типовых запросов к репозиторию с нескольких сотен IP-адресов, принадлежащих сетям Microsoft
>запросы отправляются из-за выполняемого на GitHub скриптаСпасибо, Капитан, это с самого начала было Очевидно. GitHub Actions - это кусок говна без нормального Dockerа, как в GitLab CI. Где в GitLab собирается образ Docker и потом юзается, в GitHub Actions КАЖДЫЙ pipeline полностью с нуля пересобирает всё окружение.
Это не так. Там есть кэши и ты можешь их использовать.
Есть, но это огромный геморрой по сравнению с GitLab. Местные кэши - не для установленных пакетов. А в GitLab просто генерируется образ докера со всеми установленными зависимостями, и потом используется. Я знаю, что в GitHub Actions тоже есть Docker. Но он там через одно место. Сначала жирный докеровский образ Actions, и в нём уже Docker, и в этом Docker уже пользовательский образ. Yo dawg, we heard you like Docker so we put Docker in Docker!
>в GitHub Actions КАЖДЫЙ pipeline полностью с нуля пересобирает всё окружениеКак пользователь Gentoo не вижу в этом минусов
Бггг... Тонко. Зачот.
Это к вопросу о том, что сборочной инфраструктуре хорошо бы иметь у себя на борту согласованный комплект компонентов и исходников для сборки.
Чтобы иметь возможность запустить процесс вообще без доступа к внешней сети.Если не ошибаюсь, у Амазона и Яндекса для их собственного обеспечения, сборочный процесс оформляется именно таким образом. Да, думаю и не они одни такие.
Ты не понял. Скажем 100 человек работают над проектом. Им нужно каждое изменение протестировать. Отсюда 10 запросов в секунду об изменениях потому как тестировать неисправленное бессмысленно. Отсюла же весь траффик, но видите ли в совокупности это якобы неправильное использование. А то что домохозяйка просматривая видосик в 8К сделает легко эти ваши несколько гигабайт траффика за три часа сеньоры упомянуть забыли. И тут либо компы людей напрягать синхронизауией изменений с обращением к инфраструктуре, либо напрямую отдавать весь ком сжатых исходников. И как мы помним все что нп запрещено то разрешено. Это просто не на руку держателям серверов. Выгнать из памяти кллочок данных это легко. Никто не обязан входить в положение держателей серверов.
> Ты не понял. Скажем 100 человек работают над проектом. Им нужно каждое
> изменение протестировать. Отсюда 10 запросов в секунду об изменениях потому как
> тестировать неисправленное бессмысленно. Отсюла же весь траффик, ....Из текста новости можно понять, что там запросы отнюдь не на подтягивание изменений, а на полное клонирование репозитория с gmp.
Любой вменяемый хостинг, если это не мощности гитхаба или чего-то подобного - призадумается, когда с него много-много раз в секунду клонируют репозиторий с чем-то популярным.А gmp является достаточно популярным и нужным многим компонентом.
Организационными мерами и взыванию к такой штуке как совесть - это не побороть.
Так что я владельцев проекта GNU GMP вполне понимаю.
А людей без совести я понимать никогда и не собирался.
> Никто не обязан входить в положение держателей серверов.а держатели серверов не обязаны отвечать на любой запрос к серверу. взял — и забанил. ой.
>Отправка за несколько часов десятков тысяч запросов, многие из которых выполняют команду клонирования репозиторияА всё потому, что большинство софта не использует --depth=1 и частичные клоны. Частичные клоны не используют потому, что для них нужно кучу всратых аргументов передать, и никто с этим (ну, кроме меня) заморачиваться не стал.
Там была команда частичного клонирования как раз. Но комбинация Hg (меркуриал) и подкроватного сервера gmplib.org всё равно от неё падали.
> Там была команда частичного клонирования как раз.Тут надо понимать, что в mercurial частичное клонирование -- это полное клонирование всех предков какой-либо ревизии, например одной бранчи. Это далеко не то же самое, что shallow clone в git-е.
Иными словами, не зря им пользуются даже реже, чем svn.
Ещё Micro$oft не помешало бы добавлять по-умолчанию http.extraHeader в конфигурацию git своих пайплайнов с именем репозитория и идентифкатором пайплайна. Это поможет владельцам репозиториев контактировать с нерадивыми любителями CI напрямую.
А вот это здравая мысль
Ага, и из-за этого отвалится бо́льшая часть скраперов и скриптов, которые собирают инстансы безголовых браузеров. Едрить спасибо нафиг!
> Ага, и из-за этого отвалится бо́льшая часть скраперов и скриптов, которые собирают
> инстансы безголовых браузеров. Едрить спасибо нафиг!Меньше всякого спама от псинодев в интернете. Ня. Погодите, ща вам на волне рецессии объяснят где вашему хайпу место. Вместе с скраперами и скриптами создающими паразитный траф без какой либо отдачи вообще.
Если увольнять 200К тушек - логично и остальные аспекты подбить чтобы деньги не транжирили. Так что этот паразитичный трафик в два счета пойдет под нож везде и всюду.
> контактировать с нерадивыми любителями CI напрямую.Ликтора с пучком розог прислать.
стелс-пихоту с пневмопихами
А так же позволит идентифицировать пацплайны отдельных проектов и компрометировать их. Отличная идея, но спасибо, не надо.
1. git - это недоblockchain. PoW нет, а так и блоки и цепочки хешей есть. Поменяешь хоть бит - поменяется и хэш. Незаметным не останется.
2. ничего не мешает засунуть в сборочные скрипты проекта код, проверяющий наличие файлов, специфичных для конкретного проекта. сборочные скрипты - explicitly trusted.
3. у кого особые требования к безопасности - те могут из конфига это убрать. правда таких вумных можно поголовно компрометировать, но если у вас такие требования к безопасности, то может вам вообще не надо полагаться на код, не прошедший аудит человеком?
И ты можешь гарантировать, что все, везде и всегда соблюдают лучшие практики, или ты из тех, кому мало чтобы было хорошо, нужно чтобы соседу было плохо?
man git-config
Типичные американские дол_6_йо_бы - думают, будто в каждой компании 100гигабит сеть и можно с любой точки Земли скачать 40 гигов данных чисто по капризу. "Дебилы, б___!" (ц)
Не обижайтесь, но у Вас несколько идеализированное представление о состоянии интернета в американском корпоративном секторе. )))
Эм, почему только американские? Тебя "пендос" изнасиловал когда-то?
Вот так чувак в своем проекте FFmpeg-Builds положил gmplib.org:https://github.com/BtbN/FFmpeg-Builds/commit/d75466340a9a598...
Там команда: `hg clone`. hg clone вероятно не очень быстро работает даже с опцией "do not clone everything".
Their hg server is way too flakey to rely on, download a release tarball
from GNU mirror instead.I hope no important fixes are missed due to the loss of update
automation this causes.
> I hope no important fixes are missed due to the loss of update automationТак они там самым свеженьким обмазываются, вместо того, чтобы отревизить и прибить гвоздями версию зависимости? Ну, молодцы, чо...
С одной стороны, это чревато новыми проблемами и уязвимостями, но, с другой, во многих проектах проблемы и уязвимости исправляются в мастере и висят там по 5 лет без релиза, а каждый раз выяснять можно каждую из 1000 зависимостей собирать или нет утомительно и требует регулярных неоправданных затрат. Пользователи идут на риск, выбирая свежачок, но это их выбор.Кроме того, это необходимо разработчикам для тестирования регрессий. Достоверную картину можно иметь только тестируя со свежачком во всех компонентах. Вот в генту всякие ffmpeg/gstreamer многолетней давности в ходу и с более свежими всегда проблемы. А в старых свои баги и косяки.
Регрессий в своём коде? Компиляция с обновлённой зависимостью поможет выявить регрессию, которая осталась бы скпытой, если бы использовалась старая, однажды проверенная версия? Или регрессии в зависимостях, в ловле которых разрабы конечного софта участвуют, тестируя свой продукт с самыми свежими версиями всех зависимостей?
Регрессии бывают и там и там. Но обычно зависимости ломают API, и это не регрессия. А баг во всех проектах, которые юзают эти зависимости. Не нравится править свой код под новейшие версии зависимостей - меняй их на альтернативы, которые имеют более стабильное (то есть сгнившее) API.
> стабильное (то есть сгнившее) APIС какой частотой должно меняться API, чтобы не считаться сгнившим?
Ровно столько, сколько надо.
> С какой частотой должно меняться API, чтобы не считаться сгнившим?каждый месяц. а лучше ещё чаще. если же вдруг у тебя код двадцатилетней давности собрался без правок и правильно заработал — никогда не пользуйся такой библиотекой, она очевидно бесполезна. даже больше: она очевидно вредна, потому что лишает программистов рабочих мест, которые гарантированы, если всё надо каждый месяц переделывать.
>We don't think twice about breaking compatibility.
>>We don't think twice about breaking compatibility.девиз ffmpeg, гыг.
Существует два мнения - моё и неправильное...
Абсолютно согласен. Борьба с несовместимостями - это как раз одна из основных причин, по которой я тестирую на bleeding edge. Очень неприятно, когда у тебя при установке пакета полсистемы сносится, потому что в пакете записана старая версия зависимости, не совместимая с остальным софтом. Сторонники статической линковки пусть идут в магазин за новым компьютером, а у нас будет система, где всё будет слинковано динамически, и при эттм весь софт будет новейшим.
Всё правильно сделали. Я тоже так делаю. А прибивателей гвоздями - cargo-культистов - вон из профессии.
То есть, что такое "карго культ" ты толком не знаешь, и значение слова "отревизить" тебе неведомо.
>То есть, что такое "карго культ" ты толком не знаешьЭто когда пакетные менеджеры и системы сборки для ЯП строятся по принципу "а давайте все гвоздями прибивать и статически линковать, потому что делать так сейчас модно". Даже название системе сборки дали говорящее - cargo.
>значение слова "отревизить" тебе неведомо.
Не было такого слова, пока ты его не выдумал.
Тебе бы книжек каких-нибудь почитать...
> Там команда: `hg clone`. hg clone вероятно не очень быстро работает даже с опцией "do not clone everything".А, так там mercurial? Ну тогда всё понятно: у него тупо нет такой концепции как shallow clone, и ему *приходится* клонировать репу целиком.
"...да это у нас девочка всё перепутала!"
> из-за выполняемого на GitHub скрипта
> запуск параллельных работ для тестирования сборки на 100 разных архитектурах и платформах
> Отправка за несколько часов десятков тысяч запросов, многие из которых выполняют команду клонирования репозитория, требующую сжатия содержимогоВсё, что нужно знать о современных CI/CD системах и тех, кто их эксплуатирует.
Всё — это что именно? Сто разных архитектур и платформ без CI/CD тестировать как? Ручками? Смешно. Количество запросов тривиальнейшее, но, видимо, не для меркуриала на локалхосте. Ой.
Ты не понимаешь!!111 Там было целых 8!! (ВОСЕМЬ) гигабайт!!
Которые еще и заархивировать нужно было! Это просто невероятная нагрузка на сервак!
Кэш? Не, не слышал...
Вот именно, склонировал в DL и бери от туда 100500 раз. Так нет. Надо 100500 раз склонировать целиком из интернета. Скомпилировал зависимость, положи её в кеш и тоскай от туда 100500 раз, а не компиль её 100500 раз.
Повторю специально для такого понятливого как ты: система, которая билдит что-то для сотни архитектур, должна сама уметь один раз скачать зависимости и использовать полученные тарболы для всех билдов.
Повторю специально для такого понятливого как ты: система, которой приходится создавать архив на каждый clone запрос, должна сама уметь кешировать эти архивы для снижения нагрузки.Да и вообще, любая нормальная система, торчащая в инет, должна иметь какой-то rate limit.
Как минимум чтобы тебе внезапно не пришел внушительный счет из датацентра/провайдера/поставщика эл-ва.
Должна. И кэшировать, и отдачу лимитировать. Потому что можно (и нужно) отдавать архив из кэша, когда куча клиентов запрашивают архив одних и тех же файлов, но это никак не подразумевает, что нельзя послать лесом недоумка, который своими скриптами создаёт чрезмерную нагрузку (причём посылать в автоматическом режиме, а не вручную, как герой сабжа).
То есть виноват не то кто 100 раз в минуту клонировал целый репозиторий, хотя в нём нет такой частоты коммитов, а тот кто кого заддосили, что он недостаточно железа имел или не так его настроил?
> Всё — это что именно?Как на дурочкА устроить DDoS на независимого хостера.
> Всё, что нужно знать о современных CI/CD системах и тех, кто их эксплуатирует.Как под дурочкА устроить DDoS на селфхостед проект.
Torbjörn Granlund молодец. Я вообще не советую пользоватся продуктами проклятой корпорации. Майкрософт - это проклятая корпорация.НУ-тым отдельное уважение за незгибаемую позицию по отношению к маздаю.
1. Селф-хостедам в дальнейшем будут делаться подобные убедительные предложения перейти под защиту к компании лидеру-отрасли.
2. Mercurial это самое питоние на мощном dedicated-сервере не вывозит даже сотню ждобов.
Майкрософт ддосит и отжимает. Корпорация зла очень злая. Смешно как у локалхостных васянов пригорает от изменившихся ожиданий по умолчанию от инфраструктуры. 640Кб^Wодного сервера хватит всем!
> 2. Mercurial это самое питоние на мощном dedicated-сервере не вывозит даже сотню ждобов.Питоннетормозит, конечно, а меркуриал особо-не-тормозящее нечто - но это не повод устроить себе CI за счет чужого сервера который на это не подписывался. Если вы хотите такое пижонство, извольте кешировать/миррорить апстрим, синхрясь с ним лишь изредка. И свое зеркало там можете грузить в хвост и гриву.
> синхрясь с ним лишь изредка.За можно и не изредка, большую часть нагрузки с их сервера зеркало уберёт, так как качаться будут только изменения и только когда они есть.
> качаться будут только изменения и только когда они есть.Что-то мне подсказывает, что гений, настроивший ci/cd на клонирование для каждого билда и синхронизацию настроит так, чтобы каждые 5 минут выкачивать полный архив.
> За можно и не изредка, большую часть нагрузки с их сервера зеркало
> уберёт, так как качаться будут только изменения и только когда они есть.А вот кандидат на баню нарисовался. Для тех кто в танке еще раз:
- Со своими зеркалами можешь делать все что хочешь, хоть 200 раз в секунду апдейты чекай.
- Но вот запросы на внешние сервера изволь rate-limit'нуть, иначе тебя лимитнут уже банхаммером по тыкве и/или внезапной кончиной халявы.Доскер как бы очень прозрачно намекнул некоторым господам что вывих мозга, вместе с пофигизмом и оборзением в отношении апстрима - легко вправляется банхаммером. Извольте задействовать мозг когда что-то с внешними серверами делаете.
По-хорошему нужно адаптивно делать. Цель-то какая? Чтобы тестировать на самом свежем коде. К сожалению времена появления коммитов на сервере не хранятся и запросить их или хотя-бы хинт для периода поллинго нельзя. Если бы хранились, то можно было бы посчитать статистику и подобрать частоту поллинга такую, чтобы 90% изменений были подхвачены по одному изменению, а не дожидаясь пачки.Идеальный вариант вообще чтобы их CI дёргал хуки. Я так с авторами проектов, в которых участвую договорился. У них на GitHub пайплайн делает новую версию, и дёргает мой хук. Стартует пайплайн моего проекта и пересобирает докер.
> К сожалению времена появления коммитов на сервере не хранятся и запросить
> их или хотя-бы хинт для периода поллинго нельзя.а я-то думал, что DVCS — они умеют выкачивать не каждый раз весь репозиторий, а только новые коммиты… и стоит это очень дёшево, положить таким сервер намного сложнее. но это, конечно, вариант для лохов: что, ещё и локальные копии репозиториев держать? да ну его! лучше каждый раз выкачивать полностью самый последний тарбол — чо там, сервер проекта потерпит, и автор потерпит. пусть вообще в ножки кланяется за то, что его проектом кто-то пользуется.
впрочем, тут понятно: это надо сесть и по уму всё сделать, а не просто вайпать контейнер и полностью населять заново, вытаскивая всё из внешних источников. зато потом можно показательно обижаться на то, что тебя нафиг забанили по подсетке.
>и стоит это очень дёшевоКак видите, и тут находятся противники поллинга, даже если он дешевле полного выкачивания. С хуками вариант оптимальнее. Ещё бы оптимаььнее было, если бы дёргать хуки - это был функционал самого по хостинга, который каждый мог бы сам прилепть свой хук на чужой проект, не беспокоя автора.
> Как видите, и тут находятся противники поллинга, даже если он дешевле полного
> выкачивания.да как-то не заметил. по-моему, протестуют как раз против выкачивания срезов и тарболов.
> С хуками вариант оптимальнее.
однако с хуками надо по каждому апстриму бегать и уговаривать.
> Ещё бы оптимаььнее было, если бы
> дёргать хуки - это был функционал самого по хостинга, который каждый
> мог бы сам прилепть свой хук на чужой проект, не беспокоя
> автора.это и сейчас можно сделать, простым скриптом у себя, локально. и скомандовать удалённый апдейт, например (который опционально вытащит из локального кэша репы же). но тут у многих начинаются корчи, потому что это же *свои* интернеты теперь тратить, а не халявные чужие.
я, собственно, за нужными мне вещами так и слежу.
>это и сейчас можно сделатьНет, нельзя. Это будет тот же саммый поллинг. Для этого придётся либо с малым интервалом крутить CI-пайплайн на хостинге. Либо у себя на компе. И да, тебя забанят за поллинг раз в секунду. Когда же хостинг сохранит у себя список хуков и подёргает их сам, после успеха пайплайна в чужом проекте в master, то будет достигнута даже большая точность, при этом экономя ресурсы и сервера, и всех заинтересованных лиц.
> По-хорошему нужно адаптивно делать.По хорошему надо понимать что грузить апстрим - плохая идея. И танцевать от этой печки. Иначе вам выпишут баню, адаптивную или не очень, если вы начнете создавать проблемы перфоманса и доступности. Это стандартная админская реакция.
> Цель-то какая? Чтобы тестировать на самом свежем коде.
Для этого, реалистично, достаточно клонить репу 1 раз в пару часов. Даже если бот пискнет регрессией через 2 часа, кодер врядли был прикован перед монитором и сильно быстрее чинить не подорвется. А на сотни джобов на кучу разных серваков или что там у вас это как-нибудь с своего миррора уже реплицируйте.
И даже так как я понимаю это какие-то совершенно левые кадры которые даже к ffmpeg никак не относятся. От них вообще какая-то отдача в те проекты была?
> К сожалению времена появления коммитов на сервере не хранятся и запросить
> их или хотя-бы хинт для периода поллинго нельзя. Если бы хранились,Эм, не знаю как у hg а в git время комита прописано в комите. Это не значит что чекать каждую секунду репу отличная идея, за это вам отличный бан в репу будет. Даже если серв тянет, вы на этом глобусе не одни. А вон тот васян который в отличие от вас прислал патч - полезней в 20 раз чего доброго. Так что его доступ к серваку не менее важен.
> то можно было бы посчитать статистику и подобрать частоту поллинга такую,
> чтобы 90% изменений были подхвачены по одному изменению, а не дожидаясь пачки.Я думаю что чаще раза в час соваться в апстрим - хамство. Даже если за этот интервал будет несколько комитов, это переживаемо. Реально жирные баги кодеры сами у себя починят влет, а всякая экзотика не так уж все нагибает чтобы на этот счет супер-оперативно дергаться.
> Идеальный вариант вообще чтобы их CI дёргал хуки. Я так с авторами
> проектов, в которых участвую договорился. У них на GitHub пайплайн делает
> новую версию, и дёргает мой хук. Стартует пайплайн моего проекта и
> пересобирает докер.На лично мой вкус некоторые пережрали CI хайпа. Для большого проекта типа ffmpeg или linux kernel это столь ресурсоемко, что де-факто мало кто захочет такую нагрузку хостить. Как максимум вы можете поставить свой парк серверов и на этом хостить. Или явно договориться с кем-то об этом. Если вы попробуете этот номер без предварительных договорерностей, это здорово выезжает за fair usage ресурсов и весьма высокорисковое занятие. Независимо от того насколько благая там у вас мотивация была. Докеру вот пришлось таких господ вразумлять банхамером. И гитлабу тоже. Адаптивными типа. Подобрали параметры банхамера когда инфраструктура еще не напрягается, а кто превышает это получает в тыкву, и инфраструктура адаптируется сбросив агрессивную нагрузку :)
>Эм, не знаю как у hg а в git время комита прописано в комитеЭто время когда этот коммит сделали, а не когда его на сервер запушили. Времена запушенных - это уже надстройки хостингов, и в лучшем случаи их сейчас можно через скрейп веб-интерфейса получить. А в худшем их вообще нет.
>Для этого, реалистично, достаточно клонить репу 1 раз в пару часов
Клонить после каждого коммита, прошедшего проверки, в master. Строить нативный пакет для дистра, его заливать в репозиторий на GitLab Pages. (если бинарный пакет строится апстримом и доступен на их CI - то брать его). Триггерить пайплайн перестройки докера, берущий построенный пакет. После переделки образа - триггерить пайплайны тестирования зависимых проектов. У меня - так.
>На лично мой вкус некоторые пережрали CI хайпа
За счёт Micro$oft/GitLab inc. - почему бы и нет?
> Это время когда этот коммит сделали, а не когда его на сервер
> запушили. Времена запушенных - это уже надстройки хостингов, и в лучшем
> случаи их сейчас можно через скрейп веб-интерфейса получить. А в худшем
> их вообще нет.Лично я просто ставлю синк не чаще чем раз в час-два. Как говорит старая шутка из чтива про BOFH, "в конечном итоге реальное время не так уж важно". И плюс-минус час там ничего особо не решит, особенно учитывая что сотни конфиг на билдовку имеют тенденцию после очередного пинка пахать часами и врядли кто вообще заметит большую разницу.
> Клонить после каждого коммита, прошедшего проверки, в master.
Любую идею можно довести до маразма. Это именно тот случай. Линуксоиды намного лучше придумали: syzbot чекает лишь изредка (пинать ЭТО на каждый комит опухнуть можно), но найдя траблу - он запоминает детали лажи и потом шпарит там git bisect, на автомате, до проблемного коммита. Это и никого не грузит - и выдает проблемный комит на выходе. Этим нормальные кодеры и инфраструктурщики от додиков с безмозглым камланием на парадигмы и отличаются. То же самое, только нагрузки в 1000 раз меньше. И даже может успешно жить с проектом где fuzzing никогда не заканчивается в силу объемистости начинания (у вас такой случай вообще не предусмотрен by design).
И еще, "прошедший проверки комит" вообще попахивает булшитом для DVCS, между прочим.
> Строить нативный пакет для дистра, его заливать в репозиторий на GitLab Pages.
Булшит бинго какое-то, имхо. Такие люди как вы превращают опенсорс в УГ, типа корпоративного булщита, только еще и бесплатно. Сами так и прогайте, имхо.
> (если бинарный пакет строится апстримом и доступен на их CI - то брать его).
Апстрим мог и не билдить под вот именно мои системы и их версии, вот это как повезет.
> За счёт Micro$oft/GitLab inc. - почему бы и нет?
Потому что им это надоест и они сделают вам неудобно. Если кто вдруг не заметил - GitLab как раз и вкатил жесткие лимиты для CI - так что половине проектов которые я знаю пришлось selfhosted делать резко и внезапно, т.к. все джобы отвалились. Как-то так это все и заканчивается.
>То же самое, только нагрузки в 1000 раз меньше.Не то же самое. Добавили новую фичу, мне что ждать, пока она появится?
>в конечном итоге реальное время не так уж важно".
Вон Дебиану не важно. У них пакеты на годы устаревшие. Такие, что современный софт с ними не собирается и не линкуется - в них нет API, которое в современном софте считается "было всегда, а у кого нет - тот сам виноват, мы вставили лишние ifdefы".
>Апстрим мог и не билдить под вот именно мои системы и их версии, вот это как повезет.
В большинстве случаев позиция апстрима это "нам не нужно". Софт собирается, тестируется и выкидывется. Поэтому и приходится делать свои пайплайны отдельно для сборки пакетов.
>Булшит бинго какое-то, имхо. Такие люди как вы превращают опенсорс в УГ, типа корпоративного булщита, только еще и бесплатно. Сами так и прогайте, имхо.
Вот снесёшь себе /usr один раз - тогда дойдёт, что софт в обход пакетов ставиться должен только если это настолько нужно, что ты готов систему взять и снести всю прямо сейчас ради ътого. Если апстрим сопровождают дебилы, этого не понимающие, а в дистр пакет пропихнуть - большая проблема, потому что им это тоже не очень нужно. Что прикажешь делать? Репозитории в GitLab CI - это не очень безопасно, зато довольно удобно и действительно сокращает время и мнимизирует трату электроэнергии на сборку - один и тот же бинарный пакет я могу поставить в различные образы докера, один на убунту, другой на дебиан, прекрасно встанет и будет работать.
> Вот снесёшь себе /usr один разно зачем? мне это за двадцать лет ни разу не удалось.
> но зачем? мне это за двадцать лет ни разу не удалось.Мне тоже, Кэп, но если вдруг, у меня снапшот / был - отыграю взад за пару минут.
справедливости ради признаюсь, что мне однажды удалось сделать chmod на корень, снеся +x с части исполняемых бинарей. в том числе с самого чмода. было немного весело, захотелось вернуть обратно трудным способом.
> справедливости ради признаюсь, что мне однажды удалось сделать chmod на корень, снеся
> +x с части исполняемых бинарей. в том числе с самого чмода.
> было немного весело, захотелось вернуть обратно трудным способом.А я предпочел учиться на чужих даже не ошибках а продвинутых технологиях. Энтерпрайзники пользовались мощью CoW с незапамятных времен для виртуалок, это сильно экономит время и позволяет итеративно доделывать сложные вещи которые малореально с 1 попытки забацать.
Они научили меня азам навигации в multiverse и точках истории при помощи машины времени. Их технологии были относительно первобытны, но идеи мне понравились. И даже задолбавшись другими их "прелестями" и развидев их - недурно понимая как это работае я доразвил идеи.
Теперь даже на железных машинах у меня обычно не линейное состояние а "ансамбль миров", с возможностью навигации по истории и переигрывания. Вот тут я даже систему разнес. А вот тут история развивалась иначе, инопланетяне не разнесли эту планету, тьфу, систему. И да, минимально я это и GRUB'ом обыграю, просто загрузившись с другого снапшота, так что какая разница есть там +x или нет в разрушенной версии мира? В точке назначения система еще прекрасно работала.
А еще оно в отличие от классики например не валится от 1 рандомного бэда. Даже под libc6. И так далее. На самом деле все сложнее чем только это. Еще забавное окружение виртуалок и мелких железок, по примерно тем же лекалам. В сумме вроде неплохие "силовые щиты" и "телепортеры" вышли. На всякий случай. Могу же я качнув системные скилы до 80 уровня и для себя что-то прикольное сделать? :)
круто, чо. (без сарказма.)а мне просто лень заморачиваться, это была домашняя машина, можно было просто заново поставить нужные утилиты из пакетов с флэшины. но так неинтересно. я уж не помню, что там у меня ещё смогло запуститься, откуда вышло сделать чмод. а не вышло бы — ну и ладно, развернул бы что надо из пакета.
> Не то же самое. Добавили новую фичу, мне что ждать, пока она появится?Что за суперфича в ffmpeg без которой и часу прожить нельзя? И почему вы ее не накодили еще год назад? А лучше - пять. Если не десять. Ну и роботам так то похрен, подождут если надо. А пялиться на список комитов каждый час - обсессия какая-то.
На что я фанат ффмпега, и - тадам - его билдовки - часто и много - но каджый час? А смысл?! И каждый комит это делать вообще смысла мало: там периодически влетают явно фэйловые комиты с быстрофиксами через полчаса..пару часов. И смысл ТАКОЕ билдовать? Сотни спама вывалить на то что и так все знали уже? Погреть сервера заведомо фэйловыми джобами? Или что? Первое анноит народ, второе стоит кому-то денег, так что самая реальная перспектива - отхватить люлей за такое "благодетельство" от апстрима и причастных.
> Вон Дебиану не важно. У них пакеты на годы устаревшие.
Они устаревшие - в stable. А в SID каком - камикадзите наздоровье!
Зато в stable я могу сегодня именно порисовать печатку в CAD как планировал - вместо ВНЕЗАПНОГО отскребания кад-пакета или какой-нибудь системной либы от асфальта, что совсем не было частью плана. Свежак имеет свои минусы - может ВНЕЗАПНО сломаться. И насколько сие хотелось огрести на ВОРКСТЕЙШНЕ где я свои проекты ворочаю - большой вопрос.
> Такие, что современный софт с ними не собирается и не линкуется -
Хз, ffmpeg вот собирается и линкуется. Я проверял. Полчаса назад работало. Хотя несколько наиболее интересных либ я мануально билданул из апстрима, но это половина смысла: я тестирую ffmpeg + эти либы в связке, в привязке к моим задачам и интересам.
> в них нет API, которое в современном софте считается "было всегда, а
> у кого нет - тот сам виноват, мы вставили лишние ifdefы".Разработчики ffmpeg не склонны к hype driven development. Так что изумительно билдуется в моем stable дебиане.
> В большинстве случаев позиция апстрима это "нам не нужно". Софт собирается, тестируется
> и выкидывется. Поэтому и приходится делать свои пайплайны отдельно для сборки пакетов.Лично мне похрен у кого какие пайплайны под их причуды - до тех пор пока они ведут себя культурно и не долбят сотнями запросов в день чужие сервера. А если от вас нагрузка больше чем от остальных даунстримов вместе взятых, вылетите в момент. Как имеющий админские регалии в нескольких проектах грю.
> Вот снесёшь себе /usr один раз - тогда
Во первых, скорее всего это будет виртуалка или контейнер. Ну я спишу их в утиль да новую из темплейта скрою, займет может минуту. И?
Во вторых, даже если все же долетит до "master world", я матюкнусь, плюхнусь в машину времени, вернусь в точку пространства и времени где /usr еще был и через 2 минуты все будет как раньше.
> готов систему взять и снести всю прямо сейчас ради ътого.
У меня были иные идеи на этот счет и я посмотрев на разные технологии тоже скрафтил себе небольшой межзвездный крейсер, с нормальными силовыми щитами, держащими недружественный пыщ приличного масштаба.
> Что прикажешь делать?
Могу предложить аннигилировать. Годится?
> Репозитории в GitLab CI - это не очень безопасно,
Судя по недавним новостям и правда не шибко безопасно, когда с сервака любой файл могут с314ть это чревато весьма забавными вещами.
> могу поставить в различные образы докера, один на убунту, другой на
> дебиан, прекрасно встанет и будет работать.Да ставьте. Мне то что? Но если это пригрузит кому-то сервер они в своем праве вас - того. Не создавайте другим проблем, тогда их не создадут вам.
429 вернуть, конечно, тяжело. Надо банить сразу в итерике. Локалхостные васяны никогда не изменятся.
> 429 вернуть, конечно, тяжело.а, ну да, ну да: с рекетирами надо вежливо, это ж Священные Корпорации.
> 429 вернуть, конечно, тяжело. Надо банить сразу в итерике. Локалхостные васяны никогда
> не изменятся.Банхаммер по репе эффективнее и доходчивее обучает хайпующих тупиц решивших поиграть в девопсов с пофигом кто за шоу платит хорошим манерам в сети. Особенно когда их еще потом бонусом линчевать весь гитхаб на вас волком смотрит.
На мой вкус таким wannabe-девопсам вообще для острастки следовало бы блочить их акаунты, если майки не хотят чтобы их айпишники в фаеры залетали для вообще всей толпы.
А давайте код с паше_вру тоже в пайплайны включать. Интересно, как быстро его локалхост задымится.
https://github.com/BtbN/FFmpeg-Builds/issues/278The problem why it's SO MANY requests is because hundreds of people have forked this repository, and now at the same time (due to the workflow cron) start an image build.
Ет прям сказка какая-то.
Но ты смотри не перепутай, %username%, виноваты не эти 700 долбоклюев, а дядька, который рулит gnu gmp, и который в душе не ипал отдавать каждому из них на каждый ci/cd чих копию репо.
Там же понятным английским языком написано:> I'd happily use an official Github mirror if there was one, but that doesn't seem to be the case.
Делать зеркало на гитхабе автор GMP из принципа отказался. Это значит, что следующий такой девопс опять положит его сервак уже с какого-нибудь AWS или Azure или ещё чего.
Пятиминутное решение проблемы гневно отвергается. Ни пяди врагу, ни капли в рот, далее по тексту.
>Делать зеркало на гитхабе автор GMP из принципа отказалсяВсё правильно сделал. GitHubу нужно зеркало - пусть они и делают и сопровождают. Разраб не обязан быть зареган на GitHub. А у него selfhosted, его репозиторий - для членов проекта, обслуживать кого-щибо иного он не обязан. Свою проблему он решил блокировкой ненужных.
ну, прокудин твёрдо уверен, что рекетирам и шантажистам надо угождать, а то хуже будет. а если рекетир и шантажист — Святая Корпорация, то делать это надо надев цак и радуясь.
> ну, прокудин твёрдо уверен, что рекетирам и шантажистам надо угождать, а то
> хуже будет. а если рекетир и шантажист — Святая Корпорация, то
> делать это надо надев цак и радуясь.А если вас DoS'ят - надо, очевидно, не банить вредителя а лизнуть ботинки его сюзерену. Ага, щас.
Это не просто Прокудин. Это аморальный Прокудин.
> Делать зеркало на гитхабе автор GMP из принципа отказался. Это значит, что
> следующий такой девопс опять положит его сервак уже с какого-нибудь AWS
> или Azure или ещё чего.Дорогой корпоративный облизыватель ботинок, видите ли, Майкрософт в последнее время очень наглеет. Навязывая всякие 2FA, выставляя доп. условия и что там еще. Если вам нехрен делать как вместо того чтобы проект разрабатывать
> Пятиминутное решение проблемы гневно отвергается. Ни пяди врагу, ни капли в рот,
> далее по тексту.Это пятиминутное решение проблемы - идет с нехилыми strings attached и потом майкрософт будет постоянно делать мозг новыми требованиями в 1-стороннем порядке, этот процесс уже начался. С чего ради индивидуал желавший попрогать должен прогибаться под дурь какой-то корпорации, с их 2FA и проч, еще и бесплатно - фиг бы его знает, а? Такие требования не в ладах со здравым смыслом. А хайпующих девопсов можно и забанить, если у них ума маловато.
Кстати если кто тугой и не заметил, майкрософту тоже душнеет от душных господ, думающих что гасить тяжелыми запросами на каждый пшик это круто. Их чудный сайтик периодически кажет единорогов, тупит, выдает сообщения что запрос вотпрямща не может быть обработан и проч. В какой-то момент они тоже заметят что обеспечивать всеобщее счастье халявщиков без мозгов плотно грузящих сервер - себе дороже. В этот момент тем кто послушает ваших слащавых "универсальных решений за 5 минут" станет неудобно. В очередной раз. И они в мыле займутся решением "ВНЕЗАПНО" возникшей проблемы. Которая была предсказуема: халява с тяжелыми запросами на чужие сервера, оптом и бесплатно имеет тенденцию заканчиваться. Это общемировой тренд никак не связанный с конкретным проектом, гитхабом и чем тем еще.
...а своя инфраструктура по крайней мере предсказуема и ее лимиты известны. Честно и сейчас, а не когда задним числом лимиты влепят и ваши рабочие процессы - в хлам. Потому что вы думали что ЗБС а у апстрима были иные идеи на этот счет.
В общем если следовать советам прокудина, опенсорс станет УГ с облизыванием корпоративных пяток сюзеренов типа майкросовта. А оно такое надо - тратить на ЭТО свое время и силы?! Очень хорошо что вон те GNUшники это понимают.
> наглеет. Навязывая всякие 2FA, выставляя доп. условия и что там еще.
> Если вам нехрен делать как вместо того чтобы проект разрабатыватьСекта противников многофакторной авторизации оживилась, о как!
> Очень хорошо что вон те GNUшники это понимают.
А у других гнушников (LibreDWG, например) нет никаких проблем держать зеркало на гитхабе. Видимо, какие-то неправильные гнушники. Недостаточно хардкорные или ещё чего. Не тру. Столман порицаэ.
В целом, совершенно симптоматичный для опеннета тред. Виноваты всегда только вон те, другие, разделения ответственности нет, вы ничего не понимаете и т.д.
> разделения ответственности нети никак прокудин не поймёт, почему. ему уж и так объясняли, и эдак, на пальцах почти — нет, не понятно. может русским матерным бы понял — но бот не пропустит, увы.
> Секта противников многофакторной авторизации оживилась, о как!Вы в вашем праве выполнять любые причуды сюзеренов, а я DVCS использую как именно DVCS и строиться под причуды централизованного сюзерена не собираюсь. Мне самому вон то "по жизни" не надо, это ортогонально идее DVCS и я уж точно не собираюсь делать из заскоков MS на тему источников софта их проблемы своими. Представляете?!
> А у других гнушников (LibreDWG, например) нет никаких проблем держать зеркало на гитхабе.
Ну так зеркало же а не основное репо. Там если хостер начнет дурить можно сделать ку и удалиться. И 2FA для комитов не надо - зеркала вообще обычно комиты не принимают (не знаю за конкретно этих) и тут майкрософтушка никак "D" из DVCS оспорить не сможет. А комиты из апстрима зеркало - тадам - без всяких 2FA подтянет. И их идея работает только если все и вся делается строго через гитхаб. Что не очень реалистичное допущение для опенсорса в целом.
По поводу чего я и не понимаю такую нахрапистость в простреле своих пяток, но если они хотят напомнить чем они являются, спасибо, но я злой - и память у меня хорошая! Я с ними и так плотно и много работал и лишнее напоминание - избыточно.
> Видимо, какие-то неправильные гнушники. Недостаточно хардкорные или ещё чего.
> Не тру. Столман порицаэ.Для меня вопрос в том появляется ли у меня обязаловка юзать 2FA.
> В целом, совершенно симптоматичный для опеннета тред. Виноваты всегда только вон те,
> другие, разделения ответственности нет, вы ничего не понимаете и т.д.В конкретно этом случае это по-моему стандартная админская реакция и чтобы это понять надо было поадминить пару проектов - и только.
>> > А у других гнушников (LibreDWG, например) нет никаких проблем держать зеркало на гитхабе.
> Ну так зеркало же а не основное репо.Так от мейнтейнера GMP никто и не требует основной репозиторий туда переносить. Автор говноскрипта так и написал на понятной английской мове: "I'd happily use an official Github mirror if there was one, but that doesn't seem to be the case". Прям публично написал, прям идёшь и читаешь: https://github.com/BtbN/FFmpeg-Builds/issues/278#issuecommen....
> В конкретно этом случае это по-моему стандартная админская реакция и чтобы это понять надо было поадминить пару проектов - и только.
Я уже выше в ветке писал: когда мне проекты обваливали запросами, я молча шёл и фиксил. Мой сайт — моя ответственность, а не "ваш доступ к моему сайту — привилегия, а не право".
Заметь, я с тобой даже не спорю, что CI в том виде, как оно щас работает — расточительство, я с этим скорее согласен. Но это реалии современного мира, с ними приходится считаться. Ну или можно не считаться и ни черта не делать, а потом с полыхающей задницей разгребать вот это всё.
что характерно: задница полыхает у халявщиков и почитателей Святых Корпораций. а автор просто забанил дудосеров и спокойно живёт дальше.
> что характерно: задница полыхает у халявщиков и почитателей Святых Корпораций. а автор
> просто забанил дудосеров и спокойно живёт дальше.Ну так добрым словом и фаером можно добиться большего чем добрым словом :). К тому же так wannabe-девопсам оценка их "пользы" от апстрима оказывается гораздо понятней.
> use an official Github mirror if there was one, but that
> doesn't seem to be the case".А это должно быть case? Ну не хочет человек дел с MS иметь, допустим. Пусть господин сам и сетапит НЕофициальный миррор на гитхабе, указав апстримом официальный реп, с разумной частотой синков, и долбит ЭТО до упора, пока MS еще терпит (гитлаб и докер уже перестали btw). А рассмотреть апстрим как CI с жесткой периодикой хотя тот не подписывался - ну знаете! И перевалить на него СВОИ траблы - тоже!
Если ВЫ затеяли что-то, это ВАША задача как организовать это в виде когда оно хотя-бы не гадит окружающим. А если ваше начинание, каким бы благим ни казалось, имеет сервера апстрима и пытается подвалить работы... кхе-кхе, вы сделали что-то не так.
> Я уже выше в ветке писал: когда мне проекты обваливали запросами, я
> молча шёл и фиксил.Это имхо зависит от ситуации. Если мне показывают внутренний мониторинг когда до меня IOPS было в 10 раз меньше, и сервировало толпу даунстримов - окей, я профакапился. Так бывает. И нет, в моем случае это на 100% у апстрима не лечилось, я спровоцировал максимально жесткий worst case в периодике. Это сложный гибридный факап в нетривиальных взаимодействиях навороченных систем. Пришлось совместные эксперименты ставить чтобы понять как НЕХ аннулировать. Но у меня и настрой был на совместное заруливание проблемы а не указания апстриму правильных софта/сервисов/whatever. Очень способствует совсем иному развитию событий, когда проблема за менее чем час зарулена и все отползают довольные удачным и крутым взаимодействием, как оно и должно быть в нормальном опенсорсе.
> Мой сайт — моя ответственность,
Во первых, FYI, услуги DVCS - не сайт. Они ортогональны этому. Может быть сайт без DVCS и DVCS без намека на (веб)сайт.
Во вторых, лично я никогда не брал ответственность хостить кому-то сотни тяжелых CI джобов не согласованных со мной, забесплатно, например. И терабайты трафа 1 клиенту лить я не подписывался без понимания какие бенефиты с такой активности будут. В весьма явном виде.
В третьих, чисто по человечески, апстрим и так кодил, сервак поставил и проч. А тут еще я припру и начну качать права навязывая иные сервисы, софт, или что еще? Могу себе представить их эмоции по этому поводу. Так можно и в чатике или где там еще бан поймать бонусом к файрвольному, есчо.
> а не "ваш доступ к моему сайту — привилегия, а не право".
Ну, знаете, в вон той ситуации я как админ нулевым приоритетом выполню "damage control" и восстановлю доступность сервиса для (почти) всех. Если надо вынести 10 агрессивных клиентов чтобы остальные 1000 могли нормально пользоваться сервисом - значит так. А потом, когда немедленная угроза доступности сервису отбита, можно уже в фоне подумать и о чем-то таком, уже без огня пониже спины. А то что агрессивные клиенты испытывают проблемы - сами нарвались, как раз, вот, время подумать над своим поведением. Если вы ресурсов жрете как сотни клиентов - вы должны взамен совершенно оч@шуенные бенефиты за это подогнать, убедившись что апстрим с этим ОК. Иначе смысла вас таких обслуживать? Сугубо по затраты-результат?
> Заметь, я с тобой даже не спорю, что CI в том виде,
> как оно щас работает — расточительство, я с этим скорее согласен.Да. И если майкрософт хочет это оплачивать, пусть их сервера и долбят. Гитлаб и докер, вот, посмотрели как это - и уже расхотели почему-то, вкатив лимиты от агрессивных клиентов. И хрен поспоришь, автоматика просто забанит вас - и порядок!
Более того - в реальных системах почти всегда можно создать какие-то дурацкие паттерны которые ну вот хреново работают. Я даже согласен что в идеальном мире так быть не должно. Но реально софт сложный и все взаимодействия просчитать малореально. Есть целое направление атак на системы - целенаправленная провокация максимально ресурсоемких запросов оптом. И если апстрим говорит что ему ваше поведение не ок - прекратите это и пересмотрите поведение, или наслаждайтесь баном в фаере.
> Но это реалии современного мира, с ними приходится считаться. Ну или
> можно не считаться и ни черта не делать, а потом с
> полыхающей задницей разгребать вот это всё.Да как бы пачку айпи занести в фаер не так уж и много времени занимает. А потом полыхают уже другие задницы, более правильные, с чисто практической то точки зрения. Это не то чтобы предпочитаемо, но если common sense у кого совсем отбит, можно и банхаммером помочь с этим накрайняк. И долбить без спроса чужой серв сотнями периодических джобов это как раз оно.
А так кто-то сомневался что большая группа серверов в принципе может нанести достаточно существенный урон окружающим? Де факто это можно юзать как большой ботнет и это ответственность их владельца. Чисто технически нашествие 9000 майкрософтовских ботов ничем не отличается от нашествия 9000 враждебных ботов, результат одинаковый. И почему одних сливать правоохранителям можно а других нельзя - фиг знает.
Более того - после пинка abuse@ нормальные компании, умудренные опытом, обычно без ложных церемоний выносят проблемный акаунт, или как минимум саспендят, и вам врядли понравится ощущить как это, не рекомендую нарываться на это. А если этот механизм вдруг не сработал, тут уже правоохранители идут в дело. Поскольку майкрософт не очень то и прячется - вот как раз очень удобно и шансы их раскрячить за это все с хорошими адвокатами заметно отличные от ноля. После пары таких прецедентов (которые уже возможно были ранее) abuse@ приучается оперативно выносить проблемные акки при первом намеке на проблемы. Так что наивный чукотский девопс имеет все шансы остаться без своего гитхаб аккаунта за подобные вещи. Врядли майки хотят его бесплатно похостить а потом еще ущерб за сетевые атаки выплачивать за него.
Тут юмор ещё в том, что, как я понимаю, при форке репозитория на гитхабе его CI по умолчанию отключается. И вот это отдельная интересная тема.
На лично мой вкус это как раз и есть 🐸🐍 - и пусть они там как-нибудь сами в своей гадюшне и разбираются. Не усложняя жизнь посторонним людям своим существованием. Если они так не могут, на такой случай как раз и есть фаеры, abuse@, а если не работает то и эскалация до правоохранителей для донесения "благодетелям" что они неправы.И знаете что, милейший? Никто снаружи этой гадюшни не обязан разбираться какого хрена те сервера делают вон то. И какие аккаунты это вызвали - тоже. И как дескать умощнмить свои сервера или что там еще.
Сам майкрософт вполне себе практикует rate limit.
Пример: если сделать на этом самом "гитддосе" несколько тяжелых запросов поиска, с shared айпишника, типа тора, оно довольно быстро начинает рассказывать что мол, все дела, но мы не можем сейчас выполнить ваш запрос, приходите позже. Вместо того чтобы резко докупать под вон те аппетиты серваков. Представляете?! Майки сами не гнушаются слать в пень агрессивных клиентов вместо "мой сайт моя ответственность". Вот я и не понимаю почему когда другие делают точно так же - это дескать фи? А в случае троттлинга ms это - не фи? И их сайт не их ответственность? Нельзя ли пояснить вот этот момент? :)
GitHub может взять и забанить твой репозиторий. Уже были новости как проекты переходили на свою инфру из-за политики github.
> Секта противников многофакторной авторизации оживиласьНет, оживился как раз деструктивный карго-культ её сторонников.
Детский сад.
Раздавать свои файлы с селфхоста хочу, но не могу, но виноват микрософт в том что у них кто то попросил мой файл скачать, а я же не могу
о, очередной халявщик нистерпел.
У меня здесь 3 претензии:
1. Автор скрипта - косорылый баран.
2. Автор GMP - снежинка и кисейная барышня, для которой факт существования косорылых баранов в мире есть нечто нестерпимое и само по себе является происком страшных корпораций
3. Microsoft должен был своими силами выдать предупреждения автору репозитория на GitHub, за такое поведение вплоть до удаления, а не предъявлять претензии к GMPЕсли ты публикуешь что-то в Интернет, готовься к тому что это будут скачивать. И кроме радостных пользователей там есть еще и боты, всякие скриптописатели на коленке, которые делают работу как попало и злонамеренные пользователи.
А вообще, что люди только себе не придумают, чтобы прокси-серверами не пользоваться...
Ну поставь же блин ту же HAproxy, перед своим сервисом. Настрой ACL на замедление запросов. То есть нужно не только ограничивать количество одновременных сессий, это можно и на файрволе сделать, а именно поставить Cool Down на каждый запрос. Это перенесет нагрузку с сервера на прокси.
Типовые неуспешные с IP можно учитывать как fail2ban но это обычно кончается стыдом и разочарованиями вроде сабжа в новости.Обсуждать кодерские умения скриптописателя, который так нагнул сервак GMP считаю излишним. Таких мартышек миллионы. Нужно просто учитывать факт их существования, а не питать иллюзии, что все запросы к публичному ресурсу будут доброкачественными.
При этом требования со стороны GMP в Microsoft более чем обусловлены!
Это их автономная система. Это их пользователи что-то там запрашивают. Если ты купил AS и дал её своему клиенту, будь любезен отвечать за активность сам. Если ты купил AS, дал её клиенту, а клиент шлёт спам, то претензии к владельцу IP более чем уместны. Провайдер (держатель AS) должен угомонить клиента-спамера в противном случае все его AS можно положить в спамлисты. Это так работает.То есть здесь все виноваты:
1. Microsoft виноват в том, что перекладывает с больно головы на здоровую. С твоих IP льются вредные запросы. Либо разбирайся, либо иди в баню.
2. Автор GMP виноват в том, что не умеет настраивать прокси сервера и не в курсе, что если тебя закидали запросами это не от того что корпорации замышляют зловредное, а потому что публичный интернет он вообще такой.
3. Автор скрипта виноват в том, что написал свой скрипт именно так, а не иначе.С уважением, ваш Д'Артаньян