Опубликованы результаты независимого аудита безопасности открытого кэширующего прокси-сервера Squid, проведённого в 2021 году. В ходе проверки кодовой базы проекта выявлено 55 уязвимостей, из которых в настоящее время 35 проблем пока не исправлены разработчиками (0-day). Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению. В конечном счёте автор аудита решил раскрыть информацию не дожидаясь исправления всех проблем и предварительно уведомил об этом разработчиков Squid...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59915
Зачем оно в 2023 году?
а как еще я буду подсматривать какой прон ты качаешь с рабочего места?!
>с рабочего места?!С кого кого, а это кто такой?
Вот он и проколося. Это такой программный продукт,
который в группе мер с гонянием сотрудника в офис
позволяет выяснить его интересы на рабочем месте.А если серьезно 80% гибрида по статистике вы зачем
там куда-то еще ездиитии?
> А если серьезно 80% гибрида по статистике вы зачем
> там куда-то еще ездиитии?ффсе норм, при поднятии vpn клиента в офис его внешний траффик тоже пойдет через мой правильный прокси.
А ты думал, в сказку попал?
Это если у вас NetworkManager и вы не желаете разбираться в vpn-клиентах.
> Это если у вас NetworkManager и вы не желаете разбираться в vpn-клиентах.ну давай, разберись как устроен xauth в совершенно неизвестном тебе клиенте и сервере.
Лавры vpnc (ой, мы ОПЯТЬ починили rekeying...oops...) покоя не дают? А ведь там чуть ли не исходники были доступны, циска тогда была молодая и наивная.А предоставленный конторой клиент проверит compliance (включая наличие NM и его настройки) и просто не запустится если что-то будет не так.
Не нравится - за небольшой вычет из твоей зарплаты тебе предоставят вендоноут, где у тебя вообще прав не будет ничего менять.В сказку они попали, дети подземелий, млять.
А чо там как ваще, я не в курсе, где подробнее читать без смс?
Можешь просто спросить.
Лучше папку на общей шаре создать, чтобы туда годноту кидали.
Порнуху в паблик кидать можно?
Нужно!
Так шара быстро переполнится и лопнет, забрызгав всё вокруг
Раньше подсматривали чтобы 1. В рабочее время не лазили по всяким опеннетам 2. Чтобы экономить траффик. Сейчас анлим у всех в мобилках. Кажется в этом виде это все уже не актуально. Плюс повальный https.
Теперь это ближе к СИБам, но это совсем другая история.
>Плюс повальный https.ну безики первым делом ssl bump настроили и через политики раскатали серт (по вантузам). а у кого не вантуз, того залочили )
В умелых руках на прокси можно фильтровать всякую нечисть разными способами. И без всяких подписок. Приоритеты тоже полезно настраивать.
Придётся тебе подсматривать через плечо в туалете на экран мобилки :)
Если пользователь не добавит твой сертификат, то будешь ты сосать лапу, а не перехватывать трафик. (в HTTPS можно и URLы шифровать).
Как поставили в 2003 году так оно и стоит.
Тогда и исправлять не обязательно, всё одно обновления никто на систему вида "Как поставили в 2003 году так оно и стоит" не поставит..
К тому же они несколько раз, пусть не сильно, но ломали совместимость по конифигу. так что вместо версии времён 2003 поставить версию времён 2023 скорее всего придётся еще и конфиг править... да и что там за ос тогда...
Всё там обновляется неспешно, просто сквид, там потому что всегда был сквид. (На уязвимости всем далеко пофиг) чет пока не взломали через них, наверно потому что брать нечего)
может потому что сквид это скорее изнутри наружу и из вне оно у многих вприницпе не доступно. А изнутри всё конечно возможно, но заметно реже чем просто из вне открытое.
Используется, например, в интернет-шлюзе ИКС.
Что бы быстрее устанавливать гигабайтные обновления Линукс на все три локалхоста дома. Такому учил меня один из местных разработчиков.
Всё равно не удобно, в конфигурации и суппорте.
Самое адекватное решение это либо говорить что у тебя в локалке есть зеркало со своим днс именем и может без tls, ставить туда nginx и заставлять его тянуть отсутствующий в кеше контент с оригинальных источников.
Сквид и прописывание прокси тут никак не нужны.
Что бы такой вариант посоветовать, надо быть образованным человеком, а не типичным продавцом болгеноса.
apt-cacher-ng?
у тебя есть другая альтернатива прокси для браузера с поддержкой аутенфикации и шифрованием канала связи?VPN не предлагать, только прокси
Проксей полным полно, а канал связи сам браузер нынче шифрует.
> Проксей полным полно, а канал связи сам браузер нынче шифрует.так и запишем, предлагает передать BasicAuth для прокси в сlear text, апплодисменты
А какие есть альтернативы, умеющие работать с acl вида "пользователь - разрешённые сайты"? Да, такое иногда бывает надо, и кроме сквида никто этого не умеет.Ну и ещё всякие штуки, типа NTLM аутентификации, кто-то использует, и squid тут безальтернативен.
В современном мире это какие то странные хотелки.Раньше сквид использовался для экономии аплинка и лимитиации юзеров, потому что часто инет был с помегабайтной оплатой либо канал был безлимитный но оч узкий.
Так прокси бывает не только для пользовательских браузеров, но и для приложений.Да и если для пользователей - допустим, доступ в интернет запрещён политиками безопасности, но обновления и пару каких-нибудь сайтов можно.
В общем, бывают разные сценарии использования, и для некоторых альтернатив сквиду просто нет.
Так это всё глупые применения.
Сколько потребуется потратить времени на прописывание проксей в куче разных систем и приложений?Не проще резолвить нужные имена и кидать их фаеру как разрешённые?
CheckPoint однако умеет.
Ходили слухи про Usergate, но сам не проверял
Удобно запускать прокси для виртуалки, в которой не работает HTTPS (например с виндой 98).
похоже, все статические анализаторы отвалились
Похоже, кто то пишет и сразу шифрует свой код)
Используйте серверное ПО от Microsoft и не будет вам уязвимостей, которые опенсорсники не исправляют десятилетиямиА говорили опенсорс и линукс безопасны
Почему-то не верю что они там наблобили, там не то что случайных уязвимостей полно, но и специальных куча.
А в M$ двадцатилетиями.
А в иксах - тридцатилетиями...
Вот это качество ! Что за 30 лет так никто и не нашел, несмотря на то что опенсоурс
так нефик иксы юзать
Осталось понять, причем тут иксы
Как же хорошо забылась шумиха с WannaCry...
> Переполнение стека
> Обращение к памяти после её освобождения
> Целочисленное переполнение
> Обращение к памяти после освобождения и переполнение буфераКажется авторы хотели собрать всех покемонов /_-
Или получили заказ от университета на "пример самого отстойного кода"По ссылкам из статьи отличные примеры
Proxy-Authorization: Digest nc="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.."
in order to cause a stack buffer overflow.
"Когда я это вижу, мне хочется кричать №лЯЯЯЯЯЯААААААААААА" (с)или создаем переменную int64_t, а функция возвращает int ClientHttpRequest::mRangeCLen()
Привет неявные касты, вы такие удобные!Buffer Underflow, это уже поинтереснее
> Note: that К is the Cyrillic К, not the Latin letter K. К in hex-encoded UTF-8 is 0xD0 0x9A – aka. a multi-byte character.
> We can convert this to decimal (twos complement) “-48 -102”.Ничоси! Авторы только узнали о сущестоввании других языков кроме англ и о том что буква может быть multi-byte!
> Effectively, memory will be allocated at internal[-48] and internal[-102] respectively.
А они юзабельны, эксплоитами?Пускал squid с начала нулевых в харденед системе. Он ни разу за годы не упал. При наличии вирей под него должен был падать!
В сквида очень сильно менялась з годами команда разрабов. То ода фирма под крыло возьмёт, то другая. То в одну сторону развивают, то в другую.
Вопрос были ли эти дыры в или версии сквида или их добавили недавно.
То что он не падает, не значит что злобный какир его не взломал и теперь свободно входит, и выходит. Замечательно выходит!Думаю время вирусни, действие которых ты видел сразу (привет CIH, Boza, Melissa), уже прошло.
Скорее всего оно будет шифроваться максимально.
Вот про не падает - вы видимо молоды :))))
Я помню году в 2009-2010 вроде они тогда только на кресты переехали в 3.0 версии, у меня этот ваш сквид на маленьком офисе в 3 редко 5 активных компов падал пару раз в сутки.
После 2 или 3 звонка мне по этой проблеме я просто засунул в крон чтобы он запускался раз в 5 минут и на этом звонки прекратились :)
уязвимости или баги?
Уязвимостей
> 55 vulnerabilities and 35 0daysПричем проверка была еще в 2021, а они до сих пор не исправили...
Багов там наверняка на порядок больше.
> Причем проверка была еще в 2021, а они до сих пор не исправили...так никто им уже видимо не пользуется.
Последний коммит в их репе 20 hours ago, за неделю 6 Active pull requests.
Не много конечно, но вроде еще шевелится.
Но это конечно не доказывает, что им кто-то пользуется))
Обратного не доказывает тоже
прокси-сервер
@
в 2023 годуДавайте ещё ICQ и IRC юзать
Впн не позволяет чистить трафик от малвари, для этого необходим прокси. И чем меньше малвари чистить на клиенте, тем лучше.
Как будто прокси без кекса с MITM и корневыми сертификатами сможет отклонить зараженный трафик.
Найс перекрытие провала сишных дидов.
Эти плюсовики((( https://github.com/squid-cache/squid
Но вообще это теорема г-на Эскобара.
Там си с классами. Они даже умные указатели не используют.
Ну ладно так уж и быть иди их и по используй.
Когда вышел Squid v3 на С++, умных ещё не было.
Когда вышел Squid v3 на С++ это лишь был Squid v2, который собирался C++ компилятором. У них там были сишные списки и прочее вместо контейнеров, malloc/free кое-где замененными на new/delete и т.д.да он и сейчас такой
Белка, залогинься.
> Давайте ещё ICQ и IRC юзатьЗачем, нам wall и write достаточно
Ничего плохого в прокси и в IRC нет.Но с тем что киллер фичи сквида нынче протухли, как минимум из за почти бесплатности инета и повсеметного TLS я согласен :)
А чем этого мамонта можно заменить? Задача - проксирование трафика (в т.ч. https) в домашней сети к немного "недоступным" сайтам.
Тинипрокси ?
Оно умеет https и acl?
Проверил - https transparent не уммет, печаль
ssh + socks5Нативно, никаких ушлёпочных заголовков и маршрутов как с использованием VPN.
Про списки все-равно можешь забыть, cloudflare куда больше заблокировал сайтов, не входящих в the список.
Я спрашивал про софт, а не про протоколы. Как ты с помощью ssh будешь проксировать https без сети - непонятно.
s/без сети/в сети/
Я SwitchyOmega использую.
Такое ощущение, что все резко тупого поймали. Спрашивал про транспарент прокси, он мне браузерное дополнение сует...
https://alternativeto.net/software/squid/?platform=linuxhttps://progsoft.net/en/software/squid
https://cloudinfrastructureservices.co.uk/top-20-best-squid-.../
Спрашивали твой личный опыт, маня, а не первые маркетинговые статьи из гугла
Автоконфигурация прокси в локальной сети. Гугли proxy.pac и WPAD.
Что-то на виндузятном, не понимаю.
А вот не надо!
pac понимает и фаерфокс и хром, иначе они бы нафик не нужны были в корпоративных сетях.
Это хороший вопрос :)Пока жил в РФ юзал разное.
Провайдер у меня для заблоченных хостов по 443 возвращал свои фейковые TCP RST и я просто накидал BPF фильтр чтобы дропать TCP RST и определёнными флагами и определённым TTL.
Для 80 порта у меня nginx прозрачно проксировал всё, и если получал код возврата который провайдер поставил на заглушке (или редирект, не помню уже) то nginx пробовал открыть файл через прокси антизапрета, и записывал один байт в лог файл. В следующий раз если файл с именем сайта уже есть то он сразу перенаправлялся через прокси.
Я планировал написать специальный прокси, который бы парсил TLS SNI заголовок, дальше пробовал пройти куда просили и если подключится не удалось, то пробовал бы сходить через SOCKS5 прокси.
https://gost.run/en/
А чё - прокси-серверами в пост-диалапную эпоху и в эпоху https вместо http ещё кто-то пользуется? :-)Необходимость кешировать что-то на прокси-сервере из-за низких скоростей закончилась же с отмиранием диалапа лет 20 назад, когда начались массовые АДСЛ, которые тоже вытеснились лет 10 назад оптиками там всякими.
Сквид умеет https
> Сквид умеет httpsДа я-то "ещё в те годы" (когда прокси-серверы ещё были популярны) слышал о такой возможности сквида, но тогда эпоха медленного интернета уже начинала заканчиваться, из-за чего все эти сквиды я устанавливать уже перестал, и поэтому тогда я эту возможность не изучил и не применил ни разу, а теперь прокси-серверы мне не нужны окончательно уж.
Откуда ж вы такие беретесь, а... Прокси сейчас нужны не для кэширования, а для гибкого распределения трафика по разным апстримам. Медленный интернет кончился, начался огороженный интернет.
Это у вас он там огорожен, и ещё в паре изгойных мест.
> Откуда ж вы такие беретесь, а......а-а-а-ткуда берутся те, которые вместо обсуждения темы задают вопросы о том, кто там где-то откуда-то берётся.
> Прокси сейчас нужны не для кэширования,
> а для гибкого распределения трафика
> по разным апстримам.
> Медленный интернет кончился,
> начался огороженный интернет.Идея понятна. Спасибо.
Предложи мне свободное решение умеюшие;1. Блочить по чёрному списку.
2. MitM https.
3. Изменять содержимое html страницы на лету (вирей удалять).
4. Сканить на вирусы.
Suricata
Причем тут IDS спрашивается?
> Причем тут IDS спрашивается?Потому-что можно:
1. Блочить по чёрному списку.
2. MitM https.
3. Изменять содержимое html страницы на лету (вирей удалять).
4. Сканить на вирусы.
> Предложи мне свободное решение умеюшие;
> 1. Блочить по чёрному списку.
> 2. MitM https.
> 3. Изменять содержимое html страницы на лету (вирей удалять).
> 4. Сканить на вирусы.Все эти блокировки да подмены содержимого были полезны в те годы, когда у народа не было большого множества вариантов доступа к интернетам. Тогда если человеку перекрыли доступ куда-то, или подменили содержимое чем-то, то человеку деваться было некуда. А теперь-то телефон из кармана вытащил и доступ к нужному сайту всё-равно получил.
Вот раньше мы в киоске запрещали доступ ко всему, что не является нашими рабочими сайтами, которые киоску для работы требуются. И делали мы это с целью экономии трафика потому, что он тогда не был безлимитным.
В эпоху безлимитных адслей, а потом и оптик необходимость блокировки интернетов для экономии трафика пропала окончательно.
если у вас пивной ларёк на окраине города (такое бывает) - ваше право.
А если корпоративная сеть банка, например, или ещё какой-то фин. организации (я оттуда, мне это близко и понятно) - то и про прокси-серверы вспомните, и про GeoIP и про RPZ в DNS/Bind/Unbound
и dnstop'ом пользоваться научитесь и DNSзапросы логгировать и слова IoC узнаете, запомните, и пользовать будете везде, где дотянетесь.Если вы не просто так там з.п. получаете, а работаете
> А если корпоративная сеть банка, например, или ещё какой-то фин. организации (я
> оттуда, мне это близко и понятно) - то и про прокси-серверы
> вспомните, и про GeoIP и про RPZ в DNS/Bind/Unbound
> и dnstop'ом пользоваться научитесь и DNSзапросы логгировать и слова IoC узнаете, запомните,
> и пользовать будете везде, где дотянетесь.Ну да. Но только не научитесь да узнаете, а начнёте применять. :-)
1. Unbound. В конечном счёте мой чёрный список из сквида попал именно в него, когда стало понятно что реклама лезет через TLS.2. Мне такое не требовалось, сомнительная затея.
3,4. Вот тут вы обманываете себя если думаете что это работает хоть как то :)
У меня был проксимитрон ещё под венду и он отлично удалял со страниц рекламу.
А вот антивирус чекающий хттп - это костыльное решение которое умеет только тормозить.Помню я этой темой занимался в конце 2009 года.
В качестве движка был Clam, а в качестве прокси HAVP. Он и щас жив, можете юзать :)
Он у меня стоял в связке со сквидом и сквид туда засылал часть трафика, картинки и мультимедия понятное дело шли мимо.
Так вот суть в том что это никогда нормально не работало и работать не будет, просто по техническим причинам.Чтобы антивирусу проверить что то - это надо сначало целиком выкачать, потом это надо положить на диск и уже после пригласить сканер для проверки. Если всё ок - то отдаём, если нет то отдаём страничку что найден вирус.
Пока качается большой файл - браузер отвалится по таймауту.
Пока смотрим сайт - тоже всё лагает, потому что браузер запросил 100500 всего, а сканер это по одному проверяет.А дальше ещё веселее. Нынче эксплоиты и в картинки пихают, так что от исключений мимо АВ прокси придётся отказатся. И по итогу окажется что какойнить сайт типа фишек или с кучей всего будет капец как тормознуто открыватся. А если это помножить на 10 активных юзеров то боюсь админу не жить :)
И последнее.
Эффективность этого всего просто ниже нуля.
Я специально пробовал качать коллекцию вирусов с какого то сайта по одному, это были известные вирусы, которым был уже ни один месяц и у меня минимум треть спокойно скачалась.
Там не было ни паролей на архивах, ни обфускации ни чего вообще.
Короче, в 2009-2010 году оно того не стоило, а нынче и подавно бесполезное полностью, учитывая как у какеров прогресс продвинулся и что они легко могут персонально обфусцировать и персонально шифровать+генерить лоадер на каждый запрос.
Насчёт кеширования я с вами не соглашусь, увы.
У меня на телефонах и планшетах OSM стоит, там ежемесячно примерно 10Гб обновлений карт на каждый девайс.
Я бы может и не хотел кешировать у себя, у меня то канал широкий, но кажется с отдающей стороны скорость ограничивают.Насчёт кеширования сайтов - тут вопрос сложнее.
Я пользовался сквидом для кеширования и нарезки рекламы и прочего шлака, где то с 2009 по 201х (максимум 18, но мне кажется раньше сильно ушёл).
И почти всегда эффективность кеша была достаточно низкой, не важно брать статистику из дома где я почти один был или из малых офисов 3-15 девайсов. Выше 25% вроде не поднималась, кажется обычно 10% примерно было.Но подозреваю резалка рекламы и прочего мусора давала экономии больше :)
В моей деревне АДСЛ пришёл в 2006 году и оплата была помегабайтной, так что кеш имел смысл.
Безлимитным он стал где то через год. Оптика до физиков докатилась наверное лет 8 назад, до того была оптика до дома/подъезда.
> Насчёт кеширования сайтов - тут вопрос сложнее.Так ещё и "философия построения сайтов" изменилась.
Раньше было, что кешировать - вебмастера понаваяют на своих сайтах статических хтмл-страничек, которые никогда в жизни менять потом не собирались так, что они были неизменными байтик в байтик от запроса к запросу.
А теперь-то каждая страница в каждом запросе "движком" сайта создаётся уникальной. В ней могут меняться важные части типа заголовков свежих новостей, которые кеширование уничтожит. :-)
Так профит всё равно был от кеширования картинок и прочего тяжёлого контента :)
С agile development кэширование вообще потеряло какой-то смысл, кроме как на стороне CDN.
Да причём тут блин кэширование? Это далеко не основная фича.
> Да причём тут блин кэширование? Это далеко не основная фича.Из описания:
Squid is a **CACHING** proxy for the Web supporting HTTP, HTTPS, FTP, and more.
Изначально его использовали именно для этого, чтобы уменьшить нагрузку на каналы и ускорить загрузку страниц. Контроль за доступом (authorization и web access) - дополнительная неосновная фича.
Слово "блин" в данном случае вводное и обособляется запятыми.
о очередные филологи на опеннете xD
> Изначально его использовали именно для этогоСам себе и ответил. А вот теперь, судя по всем попыткам объяснить вам всем таким удивляющимся, и "Контроль за доступом (authorization и web access) - дополнительная неосновная фича." - уже далеко не дополнительная для многих. А еще там мне были удобны (эх, давно, в начале 2000-х) нарезки скоростей для пользователей/групп и редиректоры, особенно SquidGuard. Сейчас этот комбайн используется, похоже, не просто как "кэш всего интернета".
Да даже и как кэш продолжают использовать. Вон, в википедии написано:
"...Используется вместе с движками Mediawiki на wiki-хостингах. Использование кэширующего прокси-сервера для сайтов становится выгодно примерно с 2000 посетителей в сутки..."
там же далее про использование реверс-прокси на педивикии, из странички про сквид:
"Обратное кэширование
Одной из особенностей squid является возможность работать в режиме обратного прокси (reverse proxy), также известного как «ускоритель» («HTTP accelerator»). В этом случае вместо кэширования запросов нескольких пользователей к множеству сайтов кешируются запросы множества пользователей к нескольким сайтам. В этом режиме принятый запрос проверяется на «динамичность» (нужно ли каждый раз обрабатывать запрос с нуля) и «возраст» (актуальны ли ещё данные). Если данные ещё актуальны и не поменялись, то запрос не передаётся серверу, а отдаётся из кеша squid’а. Таким образом существенно снижается нагрузка на серверы (например, в Википедии запросы к страницам кешируются, так как от просмотра их содержимое не меняется, при этом нагрузка на серверы существенно меньше — обработка запроса к кешу много проще, чем обработка запроса к базе данных SQL, обработка вики-разметки и формирование веб-страницы).
Кроме того, «обратный прокси» способен распределять запросы между несколькими серверами, балансируя нагрузку и/или обеспечивая отказоустойчивость, то есть фактически предоставляет функциональность, аналогичную кластеру. "
Короче - тебе не нужно, кому-то еще нужно.
Вы будете смеятся но у меня дома squid был заменён на nginx.Да, nginx мне проксировал инет прозрачно по 80 порту дома 5-10 лет.
И кешировать он умеет, не так хорошо,когда я пробовал, сейчас наверняка уже не хуже.
От кеша правда я отказался, его эффективность и на сквиде кажется упала до 5% к моменту перехода, из за TLS. А TLS я не собирался проксировать разбирая содержимое.
>Squid is a **CACHING** proxy for the Web supporting HTTP, HTTPS, FTP, and moreну мало ли.... справедливости ради, даже во времена платных мегабайтов, прокся в корп-сети не сильно окупалась (5-10% экономии), ещё и глюки вылазили на сайтах если кешировать принудительно а не что сайт в заголовках говорит.
Насчёт окупания - вопрос спорный, сквид же часто крутился не на отдельной железке, так что для окупаемости придётся считать сколько электричества и ценных мегабайт на диске потребил именно сквид.Да и профит от нарезки рекламы и прочего мусора был кажется даже больше чем от кеширования.
Кажется я в одной конторе по WPAD раздал конфиг и у меня апдейты венды через сквид поехали, вот тогда был хороший хит ратио )
>> Да причём тут блин кэширование? Это далеко не основная фича.
> Из описания:
> Squid is a **CACHING** proxy for the Web supporting HTTP, HTTPS, FTP,
> and more.
> Изначально его использовали именно для этого, чтобы уменьшить нагрузку на каналы и
> ускорить загрузку страниц. Контроль за доступом (authorization и web access) -
> дополнительная неосновная фича.
> Слово "блин" в данном случае вводное и обособляется запятыми.Минусов этому сообщению натолкали напрасно. Подтолкнул ему свой плюсик.
Не знаю, как позже, но раньше прокси-серверы использовали больше для снижения нагрузки на канал.
Позже уже начали понемногу применять прокси-серверы и для других штучек - подмены содержимого с разными целями и т.п. Но это было позже. А раньше в основном была цель - уменьшение нагрузки на канал.
А птичку тут просто многие ненавидят из принципа, ибо он рациональный, а тут в основном ярые фанаты Linux/Open Source.
Почему авторы Сквида не залатали дыры? Откуда у них такое безалаберное отношение? Для закрытия уязвимостей нет никаких технических препон.
Тебе нужно - ты и залатывай. А не нужно - тогда и не визжи.
Потому что не дыры? Дыры это когда есть возможность загружать и запускать вирусы удаленно. Такие эксплоиты есть? Нет? Значит и фиксить нечего. Фиксить то, что и так нормально работает, это зло, классическая ошибка программиста, даже слово специальное есть, мне гуглить лень, сам поищи, когда пишут фичи ради удовлетворения формальной логики, которая в реальной эксплуатации не встретится. Писать надо реальные функции, а не надрачивать на идеальный код в вакууме. Такого псевдо-программиста гнать надо ссаными тряпками, только имитирует деятельность ничего полезного не делая, паразит.
Ну ты так разорался, как будто, за твои деньги он так программирует.
Логичный конец опенсорсных влажных мечт. Ребят, не бывает "хорошо и бесплатно"! Как ни крути, всё равно приходим к тому, что хоть как-то, но ТРУД должен оплачиваться. Бартер типа "ты мне ОСь, я тебе компилятор" не особо работает. Не говоря о тысячах леммингов, у которых вообще нет никаких скилов, кроме как потреблять.Писать софт надо в режиме "фича за деньги". Запрашивается фича, оценивается бюджет, скидываемся всем миром, получаем фичу. Всё как у взрослых - с тех.заданием, саппортом, доками и т.п. Иначе это будет бесконечный балаган, как сегодняшний Линукс.
> Логичный конец опенсорсных влажных мечт. Ребят, не бывает "хорошо и бесплатно"! Какплатно тоже не бывает. Точнее, хорошо будет, но не тебе.
> Писать софт надо в режиме "фича за деньги". Запрашивается фича, оценивается бюджет,
кнутоваааааатель! Срочно в экзекьюторскую! Тут опять раб хочет денег!
> скидываемся всем миром, получаем фичу. Всё как у взрослых - с
> тех.заданием, саппортом, доками и т.п. Иначе это будет бесконечный балаган, как
> сегодняшний Линукс.сегодняшний линукс пишется - за деньги. Деньги корпораций. У тебя столько нет и не будет. Никогда.
Предыдущий линукс (сквиды и прочее всякое) писался ДЛЯ СЕБЯ. А не за деньги. Это упущение уже исправлено. У тебя никогда не будет столько лишнего времени чтобы ты смог хоть что-то существенное написать.
Мелочь какую-нибудь - пока еще да. Но этот недочет уважаемый кнутователь щас тоже устранит.
Ну так пиши для себя, кто тебе запрещает!
А то разнылся как дитя мелкое.Кто хочет - тот делает.
Куча проектов делается just for fun, и никто не жалуется.
Печально, у меня всё рабочее окружение на сквиде держится. Фич tinyproxy не хватает.
Squid часто используется как прозрачный прокси для контентной фильтрации в UTM системах.
Сквид такое же легаси как апач.Только его авторы лет 10+ назад решили зачем то на кресты переписать, кажется с того времени у сквида и начались проблемы с качеством кода.
Проблемы потому что конвертировать такую кодовую базу полноценно в кресты авторам видимо было не по силам, а дальше видимо пошёл типичный какакод от крестовиков, которые как и пхп/петонисты не всегда понимают что на самом деле делает их код, и каждый раз надо звать гуру или Страуструпа чтобы он рассжёвывал и бил по рукам :)
Проблема в том, что для этого легаси не написали замены. Растоманы, ау! Вот вам поле непаханное.
Да как бы и проблемы то уже такой нет.
Кеширование умеет nginx, как и проксирование, при прямых руках он в этой части заменяет сквид.
Авторизация - она как бы не очень нужна, и есть всякие другие способы типа хотспот авторизации.
> Вот вам поле непаханное.Так в этом и проблема. Не под силу им поля. Так, пару горшочков на окошке- могут. Делянку могут, если на гугловые или чьи там еще деньги и кнутовать будут хорошо. А больше - не могут. Пока все силы уходят на бег от борова и удовлетворяние клиппи - не до кода.
Можно было бы завалить количеством, но тоже пока не получается - нет нужного количества умеющих в закорючки.
Поэтому ресдох и сдох.
А эскопета так и останется с кривым стволом.
>Не под силу им поляИз чего это следует? Кажется, здесь была новость об аналоге nginx, написанном на Rust, более быстром и безопасном.
>нет нужного количества умеющих в закорючки
Народ сейчас по большей части в Вебе занят, где больше всего вакансий. То есть, причина не в том, что никто не может. Причина в том, что никто не хочет за бесплатно. Все кушать хотят. А из веба в системщину перейти - дело не быстрое.
>Поэтому ресдох и сдох
Это домашний проект, и он рабочий, кстати.
В общем, типичный такой уровень "экспертизы" от очередного "эксперта".
Ресдох сдох пох. Поставьте запятую, не ошибитесь.
Это не аналог был.
Кажется амазон или кто то там решил одну свою конкретную специфичную задачу по обработке HTTP заменив nginx самописным софтом на rust.
> Это не аналог был.имянно. не выиграл, а проиграл, не поле а очередной горшочек на окошечке.
И так каждый раз.
> Только его авторы лет 10+ назад решили зачем то на кресты переписать,
> кажется с того времени у сквида и начались проблемы с качествомнет, до этого было такое же г-но. Каждая новая версия фиксила пяток-десяток rce и добавляла столько же. Продукт 90х годов, тогда все так писали - лишь бы запускалось. Потому и написали,а не погибли в неравном бою с боровом.
> Проблемы потому что конвертировать такую кодовую базу полноценно в кресты авторам видимо
> было не по силам, а дальше видимо пошёл типичный какакод ота они и не пытались, там скорее си-с-классами был чем полноценный c++ - т.е. хуже в общем-то не должно было стать.
Хуже стало ровно потому что авторам стало существенно менее интересно заниматься этим проектом и их самих осталось мало. Как и тех кто мог бы им предоставить готовые патчи, а не гордо с высоты птичьего помета тыкать - тут у вас уязвимость, и там тоже, немедленно мне исправьти ането!
>Потому и написали,а не погибли в неравном бою с боровом.Что-то написали, и оно даже как-то работает. Все довольны? Если да, то к чему тогда вот эти стенания, которые мы видим под данной заметкой? А, нет, оказывается не все довольны. Мало кто хочет жить за peшeтoм из "увизгвимостей". Вот ведь странный народ, да? Или эта странность чем-то объясняется? И чем же? Ну, конечно, баблом! Только типичный пох. не умеет его считать, ему вообще на это пох.
>авторам стало существенно менее интересно заниматься этим проектом
Ну да, написали кусок г. , удовлетворили своё ЧСВ и смылись. А за качество платить надо. Но все ж хотят бесплатно.
апач не легаси, yo
... а еще оно wccp2 умело)
В корпоративной среде для слежки за пользователями - кто куда ходит в отчетах для ИБ аналоги кальмару либо платные (usergate), либо малофункциональные. Есть хороший проект Web Safety от diladele , где на кальмара прикручен красивый GUI и отчеты, но он платный.