Инженерный комитет IETF (Internet Engineering Task Force), занимающегося развитием протоколов и архитектуры сети Интернет, опубликовал (http://lists.w3.org/Archives/Public/ietf-http-wg/2013JulSep/...) второй черновой вариант спецификации HTTP 2.0 (http://tools.ietf.org/html/draft-ietf-httpbis-http2-04), который помечен как пригодный для создания реализаций протокола в конечных продуктах. В качестве основы HTTP 2.0 выступает разработанный компанией Google протокол SPDY (http://dev.chromium.org/spdy), поддержка которого уже присутствует в браузерах Chrome, Opera и Firefox, а также доступна для http-серверов Apache и nginx. Отдельно отмечается, что HTTP 2.0 не вытесняет HTTP 1.1 в разряд устаревших, а рассматривается как альтернатива HTTP 1.1, более эффективно использующая сетевые ресурсы и снижающая задержки в процессе обработки запросов.Протокол SPDY разработан (http://www.opennet.me/opennews/art.shtml?num=33638) для минимизации задержек при соединении и обмене данными между клиентом и сервером. По данным Google ускорение работы реальных сайтов при использовании SPDY составляет от 15% до 50%. SPDY добавляет сеансовый уровень поверх SSL, что даёт возможность обеспечить передачу нескольких одновременных потоков в рамках одного TCP-соединения. SPDY позволяет мультиплексировать запросы ресурсов, обрабатывать их параллельно и отправлять запросы с учетом динамически рассчитываемых приоритетов, увеличивая текущую пропускную способность. Использование SSL одновременно позволяет решить проблему с прохождением запросов через прокси серверы и позволяет организовать доставку данных по инициативе сервера, без специального запроса клиента (технология Server push). Дополнительное ускорение достигается за счёт сжатия HTTP-заголовков запроса и ответа.
URL: http://lists.w3.org/Archives/Public/ietf-http-wg/2013JulSep/...
Новость: http://www.opennet.me/opennews/art.shtml?num=37387
Ну, и как это поможет анонимности?
примерно так же, как и голодающим детям Зимбабве
голодающим детям Зимбабве очень просто помочь, если заставить их работать
Ты не поверишь, но детский труд в Африке эксплуатируется с ранних лет и так, что многие "тагильские" рабочие не позавидуют.
> Ты не поверишь, но детский труд в Африке эксплуатируется с ранних лет
> и так, что многие "тагильские" рабочие не позавидуют.на добывания алмазов, ага
а жрать себе дети не могут с пальмы достать? или как? вон испания по 3 урожая в год собирает, греция, полная раздолбаев, и та на плаву пока еще, пусть и за счет других (выкинуть их нахер оттуда, балласт этот)
а тут, понимаешь, дети голодают, сердобольные нашлись
работать они не хотят, а только стоят с протянутой рукой, целые поколения уже родились в лагерях беженцев и не умеют ничего, кроме как попрошайничатьа некоторые, из африки опять же, дистрибутивы линукса продвигают, и между прочим, не бедствуют, по космосам полетали
потому что работают, а не клянчат
Хорошо писать это сытым?
> Хорошо писать это сытым?неплохо, особенно после 8 часового рабочего дня
дите в африке таким похвастается? я имею в виду выросшее, конечно, хотя на пропитание и дитем можно повкалывать, не возбраняется
я на свой хлеб заработал, работая 5 лет по 12 часов в день 5 раз в неделю, а теперь сыт и могу писАть здесь, имеете что-то против?
А кто-то обещал, что поможет?
HTTP 2.0 это не анонимность, это увеличение скорости и оптимизация.
Давно пора. HTTP 1.0 разрабатывался давным-давно и некоторые его фундаментальные принципы рассчитаны на железо того времени.
под PRISM заточен?
Судя по всему упрощение АНБ отлов/брут трафика в сеансах)
Не АНБ, а ЗОГ
Изобретаем еще раз sctp
Ну так ты иди, убеди MS драйвер SCTP написать - все тебе спасибо скажут.
Напиши сам для них.
А зачем я буду что-то писать для "них"? что бы "они" в очередной раз специально внесли несоответствие стандарту? и мне же стали это продавать?
> Напиши сам для них.А оно мне надо? У меня то линух. Но кроме меня на этой планете есть еще и другие пользователи. И если у половины юзерей сайт не будет грузиться - это ж@па, граждане. Вот по какому-то такому поводу sctp и не используется на веб-сайтах.
Если у M$ ещё нет реализации SCTP, то это значит, что её ещё нет или она недостаточно работоспособна у бздунов ;)
> Изобретаем еще раз sctpВ sctp реализовано мультиплексирование в SSL-канале?
Прокси, NAT и их админы повсеместно готовы к переходу на sctp?
Apple и Microsoft уже поддержвают sctp "из коробки"? Или мир уже весь на опенсорсе работает?
> Apple уже поддержвают sctp "из коробки"? Или мир уже весьда
>> Apple уже поддержвают sctp "из коробки"? Или мир уже весь
> даСсылка есть?
>>> Apple уже поддержвают sctp "из коробки"? Или мир уже весь
>> да
> Ссылка есть?$ grep -i SCTP /Library/Developer/CommandLineTools/SDKs/MacOSX10.9.sdk/usr/include/netinet/in.h
#define IPPROTO_SCTP 132 /* SCTP */
>>>> Apple уже поддержвают sctp "из коробки"? Или мир уже весь
>>> да
>> Ссылка есть?
> $ grep -i SCTP /Library/Developer/CommandLineTools/SDKs/MacOSX10.9.sdk/usr/include/netinet/in.h
> #define IPPROTO_SCTP 132 /* SCTP */Прям все пользователи кинутся компилировать? Ну допустим даже в ядре уже есть поддержка (понятно, что Apple "тырит" наработки BSD-шников), но где сказано, что приложения, например, Safari умеет работать с sctp?
132 и в Африке == 132, а что толку?
>>> Apple уже поддержвают sctp "из коробки"? Или мир уже весь
>> да
> Ссылка есть?https://nplab.fh-muenster.de/groups/wiki/wiki/f366c/SCTP_on_...
>>>> Apple уже поддержвают sctp "из коробки"? Или мир уже весь
>>> да
>> Ссылка есть?
> https://nplab.fh-muenster.de/groups/wiki/wiki/f366c/SCTP_on_...Т.е. скоро должно появиться, но пока ИЗ КОРОБКИ нету.
> В sctp реализовано мультиплексирование в SSL-канале?Это, пожалуй, единственная фича, которую нужно реализовывать не на транспортном уровне.
> Прокси, NAT и их админы повсеместно готовы к переходу на sctp?
Да, капитан!
> Apple и Microsoft уже поддержвают sctp "из коробки"?
Apple должно (это ж бсд). А на мелкософт класть - пусть любители кактусов страдают.
Главное, что на стороне сервера поддержка есть. А мелкомягкие хомячки пусть смотрят на яблодевайсы и линуксы и завидут ))
>> В sctp реализовано мультиплексирование в SSL-канале?
> Это, пожалуй, единственная фича, которую нужно реализовывать не на транспортном уровне.Можно ещё на IPSec перейти вместо HTTPS :-)
Как бы только это сделать поюзабельней для простых смертных...>> Прокси, NAT и их админы повсеместно готовы к переходу на sctp?
> Да, капитан!Ага, корпоративные IT-шники так и ждут новых свистоплясок с велосипедами :-)
>> Apple и Microsoft уже поддержвают sctp "из коробки"?
> Apple должно (это ж бсд).Должно или точно есть ИЗ КОРОБКИ?
Если в штатной поставке нет, то массовый пользователь не будет замарачиваться с компиляцией модулей для ОС. Это равносильно полному игнорированию sctp.> А на мелкософт класть - пусть любители
> кактусов страдают.
> Главное, что на стороне сервера поддержка есть.Надо полагать, что сервера Гугла (и других крупных компаний) будут демонстративно игнорировать Windows-пользователей?! На хрена ж тогда Google Chrome делают под Винду? Сразу б сказали: только для линуксоидов! И весь мир сразу бы перешёл с Windows на Linux! Сказка!
> Можно ещё на IPSec перейти вместо HTTPS :-)А можно просто не нести херни. Неужели это так сложно?
> Ага, корпоративные IT-шники так и ждут новых свистоплясок с велосипедами :-)
Если хочется секса - можно, конечно, поставить генту и пересобрать ядро без поддержки sctp.
Правда, на функциях ната это слабо скажется.> Должно или точно есть ИЗ КОРОБКИ?
С чего б ей не быть, в бсдшном сетевом стеке?
> Надо полагать, что сервера Гугла (и других крупных компаний) будут демонстративно игнорировать Windows-пользователей?!
Что-то я не вижу в новости поддержки SPDY в IE. Что, гугл игнорирует пользователей этого браузера?
>> Можно ещё на IPSec перейти вместо HTTPS :-)
> А можно просто не нести херни. Неужели это так сложно?Если для Вас шифрование трафика - это херня, то не нужно говорить за всех. Это же не так сложно?!
>> Ага, корпоративные IT-шники так и ждут новых свистоплясок с велосипедами :-)
> Если хочется секса - можно, конечно, поставить генту и пересобрать ядро без
> поддержки sctp.
> Правда, на функциях ната это слабо скажется.Коллега, Вы о чём?! Я о практике... Где богатый многолетний опыт работы sctp в интернете со всеми "пирогами" типа шифрования, NAT'а и прокси?! Протокол появился недавно и "детские болезни" при массовой эксплуатации ему ещё собирать и собирать. Как бы там в книжках ни писали...
>> Должно или точно есть ИЗ КОРОБКИ?
> С чего б ей не быть, в бсдшном сетевом стеке?Будем гадать и додумывать?!
Где ИЗ КОРОБКИ поддержка sctp в Mac OS X и Windows??? Ссылку дайте.>> Надо полагать, что сервера Гугла (и других крупных компаний) будут
>> демонстративно игнорировать Windows-пользователей?!
> Что-то я не вижу в новости поддержки SPDY в IE. Что, гугл
> игнорирует пользователей этого браузера?Google (в т.ч. GMail), Facebook, Twitter, Yandex, Yahoo... Дальше продолжать?
Вы серьёзно полагаете, что все эти сервисы будут игнорировать Windows-пользователей?
>Если для Вас шифрование трафика - это херня, то не нужно говорить за всех. Это же не так сложно?!Деточка, иди учи модель OSI и TCP/IP и не неси херни, не путай сеансовый и сетевой уровень.
>>Если для Вас шифрование трафика - это херня, то не нужно говорить за всех. Это же не так сложно?!
> Деточка, иди учи модель OSI и TCP/IP и не неси херни, не
> путай сеансовый и сетевой уровень.Может пожилой гений всё-таки перестанет постоянно брызгать слюной и предложит хотя бы одну идею реализации мультиплексирования SCTP в SSL-канале?!
> Может пожилой гений всё-таки перестанет постоянно брызгать слюной и предложит хотя бы
> одну идею реализации мультиплексирования SCTP в SSL-канале?!Подумайте над реализацией мультиплексирования ethernet в SSL-канале. Возможно, это наведет вас на мысли о том, какой бред вы несете.
>> Может пожилой гений всё-таки перестанет постоянно брызгать слюной и
>> предложит хотя бы
>> одну идею реализации мультиплексирования SCTP в SSL-канале?!
> Подумайте над реализацией мультиплексирования ethernet в SSL-канале.
> Возможно, это наведет вас на мысли о том, какой бред вы несете.Так про то и речь! Какого хрена тогда сравниваете SPDY и SCTP ??!?!!
> Если для Вас шифрование трафика - это херня, то не нужно говорить
> за всех. Это же не так сложно?!Нет, херня то, что вы несете. А именно - засовывание задач уровня представления на транспортный.
> Коллега, Вы о чём?! Я о практике... Где богатый многолетний опыт работы
> sctp в интернете со всеми "пирогами" типа шифрования, NAT'а и прокси?!
> Протокол появился недавно и "детские болезни" при массовой эксплуатации ему ещё
> собирать и собирать. Как бы там в книжках ни писали...Не понял, это про SCTP или про SPDY? Впрочем, без разницы - это применимо к обоим. Но к SPDY больше, конечно.
> Будем гадать и додумывать?!
> Где ИЗ КОРОБКИ поддержка sctp в Mac OS X и Windows??? Ссылку дайте.Выше вам уже все дали.
> Google (в т.ч. GMail), Facebook, Twitter, Yandex, Yahoo... Дальше продолжать?
> Вы серьёзно полагаете, что все эти сервисы будут игнорировать Windows-пользователей?Я серьезно полагаю, что вы косите под дурачка, старательно не отличая добавление нового протокола от прекращения поддержки старого.
>> Если для Вас шифрование трафика - это херня, то не нужно говорить
>> за всех. Это же не так сложно?!
> Нет, херня то, что вы несете. А именно - засовывание задач уровня
> представления на транспортный.Доказательство от противного видимо в школе не все изучали.
Изначально Аноним заявил:
> Изобретаем еще раз sctpСравнивать SPDY и SCTP - это по-вашему корректно?
>> Коллега, Вы о чём?! Я о практике... Где богатый многолетний опыт работы
>> sctp в интернете со всеми "пирогами" типа шифрования, NAT'а и прокси?!
>> Протокол появился недавно и "детские болезни" при массовой эксплуатации ему ещё
>> собирать и собирать. Как бы там в книжках ни писали...
> Не понял, это про SCTP или про SPDY? Впрочем, без разницы -
> это применимо к обоим. Но к SPDY больше, конечно.Это применимо к любой новой технологии. SCTP не святой.
Какие ПРИЛОЖЕНИЯ ДЛЯ ЮЗЕРА умеют работать с SCTP? Пока и обсуждать-то нечего.
>> Будем гадать и додумывать?!
>> Где ИЗ КОРОБКИ поддержка sctp в Mac OS X и Windows??? Ссылку дайте.
> Выше вам уже все дали.Болтовня! На заборе тоже много чего написано, однако дрова лежат.
Дайте авторитетную ссылку: на microsoft.com или apple.com где написано, что такая-то версия их ОС поддерживает SCTP.
>> Google (в т.ч. GMail), Facebook, Twitter, Yandex, Yahoo... Дальше продолжать?
>> Вы серьёзно полагаете, что все эти сервисы будут игнорировать Windows-пользователей?
> Я серьезно полагаю, что вы косите под дурачка, старательно не отличая добавление
> нового протокола от прекращения поддержки старого.Я говорю о том, что перевод web-браузеров на TCP:SPDY выглядит куда реалистичнее и полезнее, чем на SCTP:непонятно_что.
> Я говорю о том, что перевод web-браузеров на TCP:SPDY выглядит куда реалистичнее и полезнее, чем на SCTP:непонятно_что.…а на четвертый день великий вождь Зоркий Глаз заметил, что перевод браузеров на SCTP:SPDY еще полезнее, чем на TCP:SPDY или SCTP:непонятно_что.
>> Я говорю о том, что перевод web-браузеров на TCP:SPDY выглядит куда реалистичнее
>> и полезнее, чем на SCTP:непонятно_что.
> …а на четвертый день великий вождь Зоркий Глаз заметил, что перевод браузеров
> на SCTP:SPDY еще полезнее, чем на TCP:SPDY или SCTP:непонятно_что.Великий вождь потому и вождь, что понимает простую истину: замена одного компонента легче, быстрее и менее болезненно внедряется, чем замена "всего и вся".
И как великий вождь собирается разрушить основание (IPv4) и построить на его месть новое (IPv6) без замены всего, что выше? И как по мне, так лучше уж заменить на более хорошее, чем на всё то же, только в профиль.
> И как великий вождь собирается разрушить основание (IPv4) и построить на его
> месть новое (IPv6) без замены всего, что выше?Ну и как, быстро разрушается? Прям все так и ломанулись на ipv6? Ага, уже не первый год переходим... До сих пор публикуются новости, что в ПО _появляется_ поддержка ipv6.
В таких условиях разве можно говорить, что ipv6 уже готов полноценно заменить ipv4 ?> мне, так лучше уж заменить на более хорошее
А бизнесу важна непрерывность бизнес-процесса.
Вот зарплату задержат из-за того, что у банка или его провайдера "что-то перестало работать" при переходе на ipv6 - вот веселуха будет :-)
> Если для Вас шифрование трафика — это херняшифрование трафика — это хорошо. а https всё-таки херня.
>> Если для Вас шифрование трафика — это херня
> шифрование трафика — это хорошо. а https всё-таки херня.Пока безальтернативная "херня".
>> "Что-то я не вижу в новости поддержки SPDY в IE. Что, гугл игнорирует пользователей этого браузера?"http://habr.habrastorage.org/comment_images/4cf/e60/3de/4cfe...
> http://habr.habrastorage.org/comment_images/4cf/e60Какое страшилище. Винда 3.0 с SPDY :)
Плоская юнисекс версия с 0 размером груди
> Что, гугл игнорирует пользователей этого браузера?гугл должен пойти и написать что-то для IE? при живых-то, прастигосспади разработчиках? что ещё за них сделать?
> Если хочется секса - можно, конечно, поставить генту и пересобрать ядро без
> поддержки sctp.Пересобрать ядро можно на любом дистрибутиве если ты не знал, ггг
>> Если хочется секса - можно, конечно, поставить генту и пересобрать ядро без
>> поддержки sctp.
> Пересобрать ядро можно на любом дистрибутиве если ты не знал, гггНо безо всякого смысла, ради самого процесса - этим занимаются почти исключительно гентушники. Впрочем, необязательно на генте.
> Но безо всякого смысла, ради самого процесса - этим занимаются почти исключительно гентушники. Впрочем, необязательно на генте.аптгетчикам давно пора выйти из тени и добиваться сакрализации исходников и, соответственно, костров для всех, у кого незаконно компилятор в системе. все эти полумеры с тупорылой вонью на форумиках - смешны. на костёр!
IPSec после двух натов уже не работает. Для простых смертных оно будет не раньше повсеместного ipv6.
> IPSec после двух натов уже не работает. Для простых смертных оно будет
> не раньше повсеместного ipv6.IPSec не заменит (HTTP, IMAP, POP3, SMTP, ...)+SSL.
Даже после перехода на ipv6.
>> Microsoft уже поддержвают sctp
>>> Microsoft уже поддержвают sctp
> http://www.bluestop.org/SctpDrv/Этого нет в штатной поставке Windows, поэтому для обычного пользователя работать не будет.
Flash то-же недоступен в штатной поставке Windows. И таки работает для обычного пользователя.
> Flash то-же недоступен в штатной поставке Windows. И таки работает для обычного пользователя.В 8 доступен, и обновляется штатными средствами самой системы
>> Flash то-же недоступен в штатной поставке Windows. И таки работает для обычного пользователя.
> В 8 доступен, и обновляется штатными средствами самой системы8 неработает нормально для обычного пользователя
>>> Flash то-же недоступен в штатной поставке Windows. И таки работает для обычного пользователя.
>> В 8 доступен, и обновляется штатными средствами самой системы
> 8 неработает нормально для обычного пользователяБрешешь. И НЕ с глаголами пишется раздельно, нерусь.
> Брешешь. И НЕ с глаголами пишется раздельно, нерусь.В другое время я был бы с тобой согласен, о мой тёзка-опричник, но win8 именно что "неработает". Это слово довольно хорошо описывает процесс использования данной ОС. И да, ты так говоришь "нерусь", как будто это что-то плохое.
> Брешешь. И НЕ с глаголами пишется раздельно, нерусь."Неработает" - это не "не" с глаголом, а нарицательное имя (для Шindoшs).
> Брешешь.Не брешет. Работой это называть больно жирно. Это функционирование какое-то.
Linux для конечного пользователя "неработает" еще эффективнее.
> Linux для конечного пользователя "неработает" еще эффективнее.Эта проблема - не в технике, а в пиаре и продвижении. В отличие от.
> Linux для конечного пользователя "неработает" еще эффективнее.Наверное именно поэтому Dota2 пилят под линь, CryTek нанимает линухового разработчика и прочая. Видимо, кактусы от майкрософта много кого подутомили уже.
> Flash то-же недоступен в штатной поставке Windows. И таки работает для обычного
> пользователя.Mozilla Firefox тоже ставится и работает для обычного пользователя. Очень даже массово.
Только некорректно сравнивать прикладные программы для пользователя и драйвер сетевого протокола для ОС.
> Изобретаем еще раз sctpТолько на этот раз - впендюривая протокол транспортного уровня на прикладной. Костыли! Мир! Юниксвей!
Сравнил теплое с мягким... SCTP - протокол транспортного уровня. HTTP что первый, что второй - протоколы уровня приложений.
SCTP is an entirely different transport protocol. Almost no router supports it. SPDY however is built on top of TCP. If you read the SPDY specification then you’ll see that this is one of the most important reasons why they invented SPDY instead of using SCTP.
> SPDY добавляет сеансовый уровень поверх SSL, что даёт возможность обеспечить передачу нескольких одновременных потоков в рамках одного TCP-соединения.SSH чтоль изобрели опять?
PS: Согласен, сперва нужно почитать w3c. Но в новости звучит именно так.
Да. И с массовым переходом интернеты с plain HTTP на SSL гугловые боты тупо положат 90% хостеров своим краулингом :) Ведь не откажется же гугл от краулинга правда?
> Да. И с массовым переходом интернеты с plain HTTP на SSL гугловые
> боты тупо положат 90% хостеров своим краулингом :) Ведь не откажется
> же гугл от краулинга правда?Что доступно для ботов, шифровать смысла нет.
> Да. И с массовым переходом интернеты с plain HTTP на SSL гугловые
> боты тупо положат 90% хостеров своим краулингом :) Ведь не откажется
> же гугл от краулинга правда?А что, планируется отрубить возможность доступа без шифрования, даже к публично доступному контенту?
>> Да. И с массовым переходом интернеты с plain HTTP на SSL гугловые
>> боты тупо положат 90% хостеров своим краулингом :) Ведь не откажется
>> же гугл от краулинга правда?
> А что, планируется отрубить возможность доступа без шифрования, даже к публично
> доступному контенту?А что, ещё остались "герои", которые работают без SSL со своей публичной почтой?!
> А что, ещё остались "герои", которые хотят чтобы гугловые боты читали их почту?!fixed
>> А что, ещё остались «герои», которые хотят чтобы гугловые боты читали их почту?!
> fixedконечно. все пользователи gmail, например.
>>> А что, ещё остались «герои», которые хотят чтобы гугловые боты читали их почту?!
>> fixed
> конечно. все пользователи gmail, например.Любого почтового хостера можно туда же отнести, если конечно он не хочет потерять лицензию на право деятельности.
поэтому лучше использовать свой сервер.
Конечно остались. Почему бы и нет.
> А что, ещё остались "герои", которые работают без SSL со своей публичной почтой?!Публичная почта - это как? Когда любой может зайти и поковыряться в ящике?
>> А что, ещё остались "герои", которые работают без SSL со своей публичной почтой?!
> Публичная почта - это как? Когда любой может зайти и поковыряться в
> ящике?GMail, Yandex, Mail.ru и т.п.
>>> А что, ещё остались "герои", которые работают без SSL со своей публичной почтой?!
>> Публичная почта - это как? Когда любой может зайти и поковыряться в
>> ящике?
> GMail, Yandex, Mail.ru и т.п.И с каких это пор содержимое писем стало "публично доступным контентом"?
>>>> А что, ещё остались "герои", которые работают без SSL со своей публичной почтой?!
>>> Публичная почта - это как? Когда любой может зайти и поковыряться в
>>> ящике?
>> GMail, Yandex, Mail.ru и т.п.
> И с каких это пор содержимое писем стало "публично доступным контентом"?Имеется в виду, что GMail и ему подобные провайдеры предоставляет публичную услугу для работы с почтой, для подключения к которой желательно использовать HTTP+SSL, а не просто HTTP.
>>>>> А что, ещё остались "герои", которые работают без SSL со своей публичной почтой?!
>>>> Публичная почта - это как? Когда любой может зайти и поковыряться в
>>>> ящике?
>>> GMail, Yandex, Mail.ru и т.п.
>> И с каких это пор содержимое писем стало "публично доступным контентом"?
> Имеется в виду, что GMail и ему подобные провайдеры предоставляет публичную услугу
> для работы с почтой, для подключения к которой желательно использовать HTTP+SSL,
> а не просто HTTP.Нет, это в твоём сообщении (http://www.opennet.me/openforum/vsluhforumID3/90781.html#28) имеется в виду публичная услуга. А в сообщении, на которое ты этим сообщением отвечал (http://www.opennet.me/openforum/vsluhforumID3/90781.html#20), имелось в виду, скорее всего, именно то, что было написано, а написано было:
> А что, планируется отрубить возможность доступа без шифрования, даже к публично доступному контенту?И как, давно твоя личная почта стала публично доступным контентом?
> Нет, это в твоём сообщении (http://www.opennet.me/openforum/vsluhforumID3/90781.html#28)
> имеется в виду публичная услуга. А в сообщении, на которое ты
> этим сообщением отвечал (http://www.opennet.me/openforum/vsluhforumID3/90781.html#20),
> имелось в виду, скорее всего, именно то, что было написано, а
> написано было:
>> А что, планируется отрубить возможность доступа без шифрования, даже к публично доступному контенту?Нам конечно не мешало бы использовать единую терминологию и интерпретацию. Письмо в почте - это контент? Находится на публичном сервере?
Ну пусть даже Ваше понимание.
У Вас открывается http://help.ubuntu.com/ без SSL?
Это публичный контент?
> Нам конечно не мешало бы использовать единую терминологию и интерпретацию. Письмо в почте - это контент? Находится на публичном сервере?Да, контент. Да, на сервере. Нет, не на публичном. Публичный сервер на то и публичный, что на нём можно всё читать без авторизации. Ты присланное тебе письмо без авторизации прочитать
сможешь? То-то же.> У Вас открывается http://help.ubuntu.com/ без SSL?
Нет.
> Это публичный контент?Да, и шифровать его нет смысла. Впрочем, как разработчики, так и пользователи убунты сами себе злобные буратины.
>> У Вас открывается http://help.ubuntu.com/ без SSL?
> Нет.
>> Это публичный контент?
> Да, и шифровать его нет смысла.Вы видимо не учитываете, что SSL может обеспечивать не только шифрование, но и достоверность передаваемых данных. Видимо в Ubuntu переживают об этом.
К тому же, поисковые запросы тоже можно скрывать от посторонних:
https://www.google.ru/
> Вы видимо не учитываете, что SSL может обеспечивать не только шифрование, но
> и достоверность передаваемых данных.может. но в данный момент — не обеспечивает. увы.
>> Вы видимо не учитываете, что SSL может обеспечивать не только шифрование, но
>> и достоверность передаваемых данных.
> может. но в данный момент — не обеспечивает. увы.В целом ряде применений и в достаточной степени обеспечивает.
Без SSL было бы хуже.
> В целом ряде применений и в достаточной степени обеспечивает.угу. «еда в достаточной степени съедобна». ну, то есть, после употребления вероятность «откинуть коньки» не 100%, можно случайно и выжить.
> Без SSL было бы хуже.
а вот это — вряд ли. а лучше — было бы, потому что вредная иллюзия безопасности пропадает.
>> В целом ряде применений и в достаточной степени обеспечивает.
> угу. «еда в достаточной степени съедобна». ну, то есть, после употребления вероятность
> «откинуть коньки» не 100%, можно случайно и выжить.Вы продуктовым магазинам доверяете?
С какой вероятностью?
>> Без SSL было бы хуже.
> а вот это — вряд ли. а лучше — было бы, потому
> что вредная иллюзия безопасности пропадает.Дайте уж ссылки, наконец, плиз...
> А что, планируется отрубить возможность доступа без шифрования, даже к публично
> доступному контенту?А вот это хорошо. Кроме всего прочего это сорвет потуги классификации траффика всякими MITMами на предмет приоритетов, несанкционированную врезку рекламы и прочие борзости.
> А что, планируется отрубить возможность доступа без шифрования, даже к публично доступному
> контенту?а это нынче модно. попробуй, например, зайти на моднявенький гитхаб без https.
>> А что, планируется отрубить возможность доступа без шифрования, даже к публично доступному
>> контенту?
> а это нынче модно. попробуй, например, зайти на моднявенький гитхаб без https.Модно? Скорее необходимо. Тем более для сайтов разработчиков ПО.
> Модно? Скорее необходимо. Тем более для сайтов разработчиков ПО.модно. я осознаю, что такое http. я НЕ ПРОСИЛ https. зачем мне его в глотку забивать?
впрочем, гитхаб — это такая недосоциалочка для безмозглых, которая вдобавок может исходники хранить. а поскольку таки для безмозглых, то https пришлось сделать насильно, иначе долбодятлы не поймут.
>> Модно? Скорее необходимо. Тем более для сайтов разработчиков ПО.
> модно. я осознаю, что такое http. я НЕ ПРОСИЛ https. зачем мне
> его в глотку забивать?Видимо владельцы ресурса посчитали это не просто полезным, а даже обязательным.
Одного из владельцев забыли опросить? :-)> впрочем, гитхаб — это такая недосоциалочка для безмозглых, которая вдобавок может
> исходники хранитьВы-то там каким боком оказались?!
> Видимо владельцы ресурса посчитали это не просто полезным, а даже обязательным.разве я с этим спорю? модно потому что.
> Вы-то там каким боком оказались?!
таким, что там интересные исходники достаточно часто лежат. исходники-то оно хранить умеет.
>> Видимо владельцы ресурса посчитали это не просто полезным, а даже обязательным.
> разве я с этим спорю? модно потому что.Т.е. Вы бы на своём сервере, который предоставляет услуги Вашим клиентам, не стали бы настраивать HTTPS?
Не будем забывать, что HTTPS - это не только шифрование, но и обеспечение целостности при передаче данных из пункта "А" в пункт "Б".
>> Вы-то там каким боком оказались?!
> таким, что там интересные исходники достаточно часто лежат. исходники-то оно
> хранить умеет.Откуда же на сайте "для безмозглых" могут быть "интересные исходники"?! :-)
Вопрос риторический, ответа не требует...
> Т.е. Вы бы на своём сервере, который предоставляет услуги Вашим клиентам, не
> стали бы настраивать HTTPS?попробуй понять разницу между опциональным https и принудительным https. я верю, у тебя получится, если ты как следует постараешься.
> Не будем забывать, что HTTPS — это не только шифрование, но и
> обеспечение целостности при передаче данных из пункта «А» в пункт «Б».никакой целостности оно обеспечить не может при текущей политике сертификатобарыжничества и сертификатопродолбайства.
> Вопрос риторический, ответа не требует…
вопрос не требует ответа не потому, что риторический, а потому, что идиотский.
>> Т.е. Вы бы на своём сервере, который предоставляет услуги Вашим клиентам, не
>> стали бы настраивать HTTPS?
> попробуй понять разницу между опциональным https и принудительным https.Серьёзные вопросы безопасности не бывают опциональными.
Или паспорт гражданина Вы тоже по доброй воле получали?>> Не будем забывать, что HTTPS — это не только шифрование, но и
>> обеспечение целостности при передаче данных из пункта «А» в пункт «Б».
> никакой целостности оно обеспечить не может при текущей политике сертификатобарыжничества
> и сертификатопродолбайства.Ну да, продолжаем сидеть такие умные в каменном веке и ждать у моря идеальных решений.
Кстати сказать, банки давно понимают, что пластиковые карты практически не защищены, но сознательно продолжают их использовать, т.к. потери очень незначительны на фоне прибыли от услуги.
>> Вопрос риторический, ответа не требует…
> вопрос не требует ответа не потому, что риторический, а потому, что идиотский.Для ученика третьего класса интеграл тоже кажется бредом.
И если кто-то не в состоянии понять джаз, это не значит, что музыкант - идиот.
> Серьёзные вопросы безопасности не бывают опциональными.и это говорит человек, который считает, что https до сих пор имеет какое-то отношение к «безопасности». гыг.
> Ну да, продолжаем сидеть такие умные в каменном веке и ждать у
> моря идеальных решений.сидите, я не запрещаю.
>>> Вопрос риторический, ответа не требует…
>> вопрос не требует ответа не потому, что риторический, а потому, что идиотский.
> Для ученика третьего класса интеграл тоже кажется бредом.
> И если кто-то не в состоянии понять джаз, это не значит, что
> музыкант — идиот.но вопрос от этого не становится менее идиотским.
>> Серьёзные вопросы безопасности не бывают опциональными.
> и это говорит человек, который считает, что https до сих пор имеет
> какое-то отношение к «безопасности». гыг.Если Вы - не троль, то укажите нам истинный путь.
Вариант "уж лучше совсем не жить, чем жить с https" лично мной не рассматривается.>> Ну да, продолжаем сидеть такие умные в каменном веке и ждать у
>> моря идеальных решений.
> сидите, я не запрещаю.Если Вы потеряли нить рассуждения, я напомню (мне нетрудно).
Сидеть и ждать чего-то идеального - как раз Ваш выбор.>>>> Вопрос риторический, ответа не требует…
>>> вопрос не требует ответа не потому, что риторический, а потому, что идиотский.
>> Для ученика третьего класса интеграл тоже кажется бредом.
>> И если кто-то не в состоянии понять джаз, это не значит, что
>> музыкант — идиот.
> но вопрос от этого не становится менее идиотским.Ну да, смеяться можно уже от одного только слова "интеграл" :-)
> Если Вы — не троль, то укажите нам истинный путь.для начала — выкинуть на мороз торговцев воздухом. сделать кросс-подпись важных сертификатов: при лаже хотя бы с одной подписавшей стороной сертификат считается невалидным. без вариантов. также сделать механизм, похожий на web of trust. а ещё — перестать спрашивать меня и начать привлекать известных экспертов по безопасности с хорошей репутацией.
> Вариант «уж лучше совсем не жить, чем жить с https» лично мной
> не рассматривается.это лично твои проблемы: я не запрещаю верить. ни в силу крёстного знамения, ни в безопасность https.
> Если Вы потеряли нить рассуждения, я напомню (мне нетрудно).
> Сидеть и ждать чего-то идеального — как раз Ваш выбор.не угадал. нет, не расскажу.
> Ну да, смеяться можно уже от одного только слова «интеграл» :-)
отличная шутка!
>> Если Вы — не троль, то укажите нам истинный путь.
> для начала — выкинуть на мороз торговцев воздухом.
> сделать кросс-подпись важных сертификатов:
> при лаже хотя бы с одной подписавшей стороной сертификат считается невалидным.
> без вариантов. также сделать механизм, похожий на web of trust.Коллега, Вы всё спутали в кучу: недостатки самой технологии и практику её применения.
Технически всё это возможно уже сейчас. Но! До тех пор, пока нынешние технологии остаются терпимыми (сносными), никто особо париться не будет. Принцип "Не усложняй сущего без необходимости". Раз уж банки, рискуют деньгами и репутацией, не меняя технологию, то значит всё не так уж и страшно для них и их клиентов.> для начала — выкинуть на мороз торговцев воздухом.
Их никто не выкинет, ровно как никто их и не вкинул.
Это свободный рынок. Можно только вытеснить иным предложением.
> а ещё — перестать спрашивать меня и начать привлекать известных экспертов
> по безопасности с хорошей репутацией."Надо же так ошибиться" (ёжик, слезая с кактуса) :-)
> Коллега, Вы всё спутали в кучу: недостатки самой технологии и практику её
> применения.*в данном случае* совершенно без разницы, замок ли плохой, или он просто вставлен в середину двери не работает.
> До тех пор, пока нынешние
> технологии остаются терпимыми (сносными), никто особо париться не будет. Принцип «Не
> усложняй сущего без необходимости».необходимость есть. а вот понимания оной — нет.
> Раз уж банки, рискуют деньгами и репутацией,
> не меняя технологию, то значит всё не так уж и страшно
> для них и их клиентов.ещё раз: банкам пофигу, хватит их уже привлекать как универсальное мерило. а мне лично, например, ещё больше пофигу, что там считают банки по поводу безопасности https.
>> для начала — выкинуть на мороз торговцев воздухом.
> Их никто не выкинет, ровно как никто их и не вкинул.потому что люди элементарно неграмотны и не хотят обучаться.
> Это свободный рынок.
нет, но неважно.
> Можно только вытеснить иным предложением.
предложение «включить мозг» всегда будет встречаться большинством в штыки.
а вообще, вопрос-то состоял вовсе не в этом. путь я указал.
>> а ещё — перестать спрашивать меня и начать привлекать известных экспертов
>> по безопасности с хорошей репутацией.
> «Надо же так ошибиться» (ёжик, слезая с кактуса) :-)а что, ты считал, что я — эксперт по безопасности с хорошей репутацией? O_O
маленькая подсказка: чтобы понять, что еда невкусная, поваром быть не надо. а вот чтобы приготовить вкусную еду — очень желательно. чтобы заметить проблемы, в данном случае не надо быть профессионалом. а вот чтобы проблемы решить — надо.
>> Коллега, Вы всё спутали в кучу: недостатки самой технологии и практику её
>> применения.
> *в данном случае* совершенно без разницы, замок ли плохой, или он просто
> вставлен в середину двери не работает.Ни дверь, ни замок сами по себе никакой безопасности не обеспечивают. Но при определённом их комбинировании львиная доля населения планеты Земля остаётся довольной. Вы себя к ним не относите? Вы ни дверей, ни замков не используете? Ах да, они же не обеспечивают абсолютной защиты...
>> До тех пор, пока нынешние
>> технологии остаются терпимыми (сносными), никто особо париться не будет.
>> Принцип «Не усложняй сущего без необходимости».
> необходимость есть. а вот понимания оной — нет.Голословно.
>> Раз уж банки, рискуют деньгами и репутацией,
>> не меняя технологию, то значит всё не так уж и страшно
>> для них и их клиентов.
> ещё раз: банкам пофигу, хватит их уже привлекать как универсальное мерилоОни отвечают за свои слова деньгами. Весомые гарантии, между прочим, в отличии от Ваших предположений.
>>> для начала — выкинуть на мороз торговцев воздухом.
>> Их никто не выкинет, ровно как никто их и не вкинул.
> потому что люди элементарно неграмотны и не хотят обучаться.Нужен повод, пример. Так во всех сферах жизни человека.
Стырьте мильён в банке через HTTPS - сразу зашевелятся.
А теоретические выкладки, что при определённом скоплении звёзд в млечном пути, в сортире перегорит лампочка - весьма маловероятное событие, убытки от которого стремятся к абсолютному нулю>> Это свободный рынок.
> нет, но неважно.Кто-то силой заставил центры сертификации начать свой бизнес?
>> Можно только вытеснить иным предложением.
> предложение «включить мозг» всегда будет встречаться большинством в штыки.Имелось в виду предложение новой технологии на рынке.
Не заставляйте людей думать. Они Вам этого не простят.
> а вообще, вопрос-то состоял вовсе не в этом. путь я указал.
Вы перечислили очевидные "хотелки". Только чтобы хотелки стали реальностью, нужно ещё много чего, а Вы от этого сознательно абстрагируетесь.
>>> а ещё — перестать спрашивать меня и начать привлекать известных экспертов
>>> по безопасности с хорошей репутацией.
>> «Надо же так ошибиться» (ёжик, слезая с кактуса) :-)
> а что, ты считал, что я — эксперт по безопасности с хорошей
> репутацией? O_OЯ просто считал, что "в спорах рождается истина", но практика показала, что чаще рождаются гордыня и тщеславие.
> маленькая подсказка: чтобы понять, что еда невкусная, поваром быть не надо.Для начала нужно знать, что бывает еда вкусная. Всё познаётся в сравнении.
> чтобы заметить проблемы, в данном случае не надо быть профессионалом.
> а вот чтобы проблемы решить — надо.Полезно ещё (как пользователю, не профессионалу) уметь оценивать риски. Иногда дешевле закрывать глаза на дыры в технологии, чем исправлять её. Вот ещё пример: карандаши дешевле сразу списывать, чем отражать их бухгалтерском учёте. Да, будут тырить, но зарплата бухгалтера для учёта всякой мелочёвки значительно выше потерь.
всё, хватит с меня идиотов на сегодня. практика в очередной раз доказала, что идиот — это навсегда.
> всё, хватит с меня идиотов на сегодня. практика в очередной раз доказала,
> что идиот — это навсегда.Жаль, что у Вас совсем маленький запас аргументов и фактов в поддержку Ваших же суждений. Они бы выглядели более убедительно нежели зацикленные эмоциональные высказывания.
увеличит ли это LA?
да, обеспечивает увеличение до 10см
> да, обеспечивает увеличение до 10смEnlarge you load average for FREE! 10cm/month!
*your*, конечно же.
Так стоп, это просто спиди и всё?А то https - это как бы может и хорошо, но
а) медленнее, чем http
б) все платные сертификаты потенциально компрометированы - компании дочерние CA же продают. т.е. безопасность там убогая. хотя можно пытаться патчить онлайн базами сертов.
Аналитики собрались. :)Вы, это, драфт прочитать пробовали?
> Аналитики собрались. :)
> Вы, это, драфт прочитать пробовали?они читать не умеют, только комменты писать.
кого оверхэд напрягает - WebSocket-ы для продакшна.
бо разница эдак в сотни раз.
остальным sub "обновите браузер на совместимый или ищите другое место для серфинга"(все версии, выпущенные 6-7 лет назад)по http-огрызкам. упорствующим - выслать отряд Т-800 и загнать на семинар по вебмастерингу, внезапно.
"SPDY добавляет сеансовый уровень поверх SSL, что даёт возможность обеспечить передачу нескольких одновременных потоков в рамках одного TCP-соединения."То есть есть возможность организовать поток, который я не заказывал?
"SPDY позволяет мультиплексировать запросы ресурсов, обрабатывать их параллельно и отправлять запросы с учетом динамически рассчитываемых приоритетов, увеличивая текущую пропускную способность."
То есть это типа QoS - возможность поджать твой канал для большого брата?
"Использование SSL одновременно позволяет решить проблему с прохождением запросов через прокси серверы и позволяет организовать доставку данных по инициативе сервера, без специального запроса клиента (технология Server push)."
Большой брат всегда готов принести тебе подарок.
Ну что же: однозначно запускать браузер только в контейнера ( а лучше в виртуальной машине)
> Ну что же: однозначно запускать браузер только в контейнера (а лучше в виртуальной машине)для твоих претензий это более чем странное решение НИЧЕГО не меняющее
Спасибо, ваш растаманский бред сделал мне утро
> организовать поток, который я не заказывал?Заказывает броузер по Вашему поручению.
> Большой брат всегда готов принести тебе подарок.
> Ну что же: однозначно запускать браузер только в контейнера ( а лучше
> в виртуальной машине)Открою тебе страшную правду: за тобой уже следит протокол IP. В каждом IP-пакете сидят маленькие фбровские агенты, которые записывают все, что ты делаешь.
Есть альтернатива SPDY?
QUIC + HSTS
Есть, HTTP.
> Есть, HTTP.HTTP и SPDY — протоколы совсем разных уровней, вообще-то: первый — прикладной, второй — транспортный.
Тащeмта, оба прикладные.
Просто в SPDY засунут микс из фич транспортного уровня и уровня представления. Но прикладным он от этого быть не перестает. А вот уродливым - становится, это да.
> HTTP и SPDY — протоколы совсем разных уровней, вообще-то: первый — прикладной, второй — транспортный.Читаем заголовок новости
> "Доступен второй черновой вариант спецификации HTTP 2.0"Теперь что, HTTP 0.9, 1.0 и 1.1 - прикладные протоколы, а HTTP 2.0 - транспортный?
> Теперь что, HTTP 0.9, 1.0 и 1.1 - прикладные протоколы, а HTTP 2.0 - транспортный?Уж не дурак ли ты? Аноним выше ничего не говорит про HTTP 2.0. Транспортным уровнем он назвал SPDY. Не то чтобы это не было глупостью:
> Протокол SPDY разработан для минимизации задержек при соединении и обмене данными между клиентом и сервером. По данным Google ускорение работы реальных сайтов при использовании SPDY составляет от 15% до 50%. SPDY добавляет сеансовый уровень поверх SSLСеансовый уровень — он как раз где-то между транспортным и прикладным, если что. Так что предложение использовать HTTP как "альтернативу SPDY" всё равно весьма сомнительно.
Хотя учитывая, что SSL — представительский уровень, и что SPDY почему-то реализуют поверх него, а не под ним, как положено по модели OSI, можно предположить, что целью создания SPDY было введение в заблуждение как можно большего числа людей, а это значит, что альтернативой SPDY вполне может стать произвольный набор помех.
> Хотя учитывая, что SSL — представительский уровень, и что SPDY почему-то реализуют
> поверх него, а не под нимА как же тогда обеспечить безопасность трафика в web-сеансе?
TCP:443 уже отлажен годами. Поверх него и будет работать SPDY.
Можно рассматривать SPDY как рабочее название новой версии HTTP.
> Можно рассматривать SPDY как рабочее название новой версии HTTP.Нет, нельзя. SPDY работает вместе с HTTP, а не вместо HTTP.
>> Можно рассматривать SPDY как рабочее название новой версии HTTP.
> Нет, нельзя. SPDY работает вместе с HTTP, а не вместо HTTP.Ну пусть будет: SPDY == HTTP 1.1.1
Так пойдёт?
>>> Можно рассматривать SPDY как рабочее название новой версии HTTP.
>> Нет, нельзя. SPDY работает вместе с HTTP, а не вместо HTTP.
> Ну пусть будет: SPDY == HTTP 1.1.1
> Так пойдёт?Нет, не пойдёт. Повторю для альтернативно одарённых: SPDY работает вместе с HTTP. Не вместо. И исполняет он не "функции HTTP + какие-то свои", а именно что "только свои".
>>>> Можно рассматривать SPDY как рабочее название новой версии HTTP.
>>> Нет, нельзя. SPDY работает вместе с HTTP, а не вместо HTTP.
>> Ну пусть будет: SPDY == HTTP 1.1.1
>> Так пойдёт?
> Нет, не пойдёт. Повторю для альтернативно одарённых: SPDY работает вместе с HTTP.
> Не вместо. И исполняет он не "функции HTTP + какие-то свои",
> а именно что "только свои".Ну хорошо, эмоциональный коллега, читаем: http://dev.chromium.org/spdy/spdy-whitepaper
Q: Is SPDY a replacement for HTTP?
A: No. SPDY replaces some parts of HTTP, but mostly augments it.
Там же есть картиночка, которая показывает, что SPDY инкапсулирует данные HTTP.Поясняю. Для того, чтобы сейчас не переписывать web-приложения SPDY берёт на себя часть функций HTTP, но по мере поддержки SPDY разработчиками, прежний HTTP канет в лету. Именно поэтому я и говорю, что SPDY - это развитие HTTP.
> Там же есть картиночка, которая показывает, что SPDY инкапсулирует данные HTTP.А там нет картиночки, которая показывает, что TCP тинкапсулирует SPDY, а IP инкапсулирует TCP? А они это делают. Или ты всерьез думаешь, что TCP можно назвать "HTTP 1.1.1.1"?
>> Там же есть картиночка, которая показывает, что SPDY инкапсулирует данные HTTP.
> А там нет картиночки, которая показывает, что TCP тинкапсулирует SPDY, а IP
> инкапсулирует TCP? А они это делают.Зачем она Вам? Вы же и сами это прекрасно понимаете :-)
> Или ты всерьез думаешь, что
> TCP можно назвать "HTTP 1.1.1.1"?Вы бы ещё OID'ы вспомнили (а-ля 1.3.6.1.4.1.5518.1.5.47)
Боюсь Вы не уловили направление моей мысли.Я имел в виду, что SPDY на данном этапе развития/использования, принимает данные от HTTP (чтобы не переписывать web-приложения), но в дальнейшем SPDY может взять на себя и весь функционал HTTP, по сути став его заменой.
> Я имел в виду, что SPDY на данном этапе развития/использования, принимает данные от HTTP (чтобы не переписывать web-приложения), но в дальнейшем SPDY может взять на себя и весь функционал HTTP, по сути став его заменой.…а может и не взять. Об этом варианте Вы не подумали?
>> Я имел в виду, что SPDY на данном этапе развития/использования, принимает данные от HTTP (чтобы не переписывать web-приложения), но в дальнейшем SPDY может взять на себя и весь функционал HTTP, по сути став его заменой.
> …а может и не взять. Об этом варианте Вы не подумали?Подумал. Конечно можно и трусы через голову одевать, но это (как минимум!) дольше, чем через ноги.
Если SPDY будет покрывать весь функционал HTTP, то станет естественным приемником HTTP.
> TCP:443 уже отлажен годами.а trustwave, например, гарантирует отсутствие mitm, ага.
>> TCP:443 уже отлажен годами.
> а trustwave, например, гарантирует отсутствие mitm, ага.HTTPS может и неидеален, но альтернатива где?
> HTTPS может и неидеаленон не просто «не идеален», он скомпрометирован. за сим на нём можно спокойно ставить крест.
> но альтернатива где?
нигде. торговцы воздухом очень не хотят переставать торговать воздухом, поэтому нормальные замены никто массово не поддержит. впрочем, https совсем не обязательно полностью заменять, его можно «аугментировать». но это опять поломает весь бизнес торговцев воздухом.
кстати: http://www.research.rutgers.edu/~ashwink/ajaxcrypt/
забавка.
>> HTTPS может и неидеален
> он не просто «не идеален», он скомпрометирован. за сим на нём можно
> спокойно ставить крест.Ну подождите... Прежде, чем от HTTPS отказываться, нужно понять в пользу чего.
>> но альтернатива где?
> нигде.Вот в том-то и дело...
В онлайн-банк как заходить частникам и юрлицам?!> торговцы воздухом очень не хотят переставать торговать воздухом, поэтому
> нормальные замены никто массово не поддержит.Я бы с Вами согласился, если бы не было открытий, подобных Torrent'у. Все толстосумы против и технология не самая удобная, и не самая правильная, но люди пользуют. Причём не только "ботаники", но и простые смертные.
Если появится технология, более защищённая, чем HTTPS и, в то же время, простая в применении, то люди начнут на неё переходить, а Mozilla поддержит это.
> впрочем, https совсем не обязательно полностью
> заменять, его можно «аугментировать». но это опять поломает весь бизнес торговцев
> воздухом.Где-то ещё существует PGP, но мало кто знает где :-)
Конечно технология должна быть удобна и безопасна для всех участников: и для пользователей, и для серверов, и для центров сертификации, и для целых государств.> кстати: http://www.research.rutgers.edu/~ashwink/ajaxcrypt/
> забавка.Красиво, но практически мало полезно. Что мешает подменить URL для загрузки JavaScript-скрипта, особенно если HTTP-трафик не защищён SSL-ем? Пользователь будет полагать, что его сообщения шифруются, а на самом деле нет.
> Ну подождите… Прежде, чем от HTTPS отказываться, нужно понять в пользу чего.прежде всего надо отказаться. тогда появится стимул для развития нормальных вещей.
> В онлайн-банк как заходить частникам и юрлицам?!
как угодно. https не обеспечивает НИКАКОЙ защиты. вообще. «один раз скомпрометированая система безопасности» == «отсутствующая система безопасности». причём второй вариант лучше, потому что не даёт ложного ощущения защищённости.
> Я бы с Вами согласился, если бы не было открытий, подобных Torrent'у.
это вообще совсем другая опера.
> Все толстосумы против и технология не самая удобная, и не самая
> правильная, но люди пользуют. Причём не только «ботаники», но и простые
> смертные.«скачать кинцо» люди понимают. а вот криптографию — мягко говоря, не очень.
> Если появится технология, более защищённая, чем HTTPS и, в то же время,
> простая в примененииэто невозможно. не бывает «простой в применении» криптобезопасности. человек должен *понимать*, что делает и что при этом происходит, иначе даже самая совершенная система безопасности будет скомпрометирована при помощи прокладки между креслом и клавиатурой.
> то люди начнут на неё переходить, а Mozilla поддержит это.
очень сложно «начать переходить» на то, что не поддерживается.
> Где-то ещё существует PGP, но мало кто знает где :-)
а это опять из другой оперы.
> Конечно технология должна быть удобна и безопасна для всех участников
см. выше. ради безопасности *всегда* придётся жертвовать некими удобствами.
> Красиво, но практически мало полезно. Что мешает подменить URL для загрузки JavaScript-скрипта,
> особенно если HTTP-трафик не защищён SSL-ем? Пользователь будет полагать, что его
> сообщения шифруются, а на самом деле нет.я же сказал: забавка. впрочем, как и https: что мешает купить сертификат у конторы наподобие trustwave и радостно смотреть на http? подавляющее большинство пользователей не просто не читает предупреждения браузеров о сертификатах, но даже не понимает, зачем они вообще выводятся. поэтому подменённый сертификат они подтвердят не думая. обложив попутно матом «безмозглых компьютерщиков, которые только и делают, что усложняют жизнь».
>> Ну подождите… Прежде, чем от HTTPS отказываться, нужно понять в пользу чего.
> прежде всего надо отказаться. тогда появится стимул для развития нормальных вещей.Не появится. Изобрести какой-никакой "костыль" проще и быстрее.
>> В онлайн-банк как заходить частникам и юрлицам?!
> как угодно. https не обеспечивает НИКАКОЙ защиты. вообще. «один раз
> скомпрометированая
> система безопасности» == «отсутствующая система безопасности». причём
> второй вариант лучше, потому что не даёт ложного ощущения защищённости.Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>> Я бы с Вами согласился, если бы не было открытий, подобных Torrent'у.
> это вообще совсем другая опера.Это простой пример того, как технология идёт из народа, а не спускается сверху толстосумами.
> «скачать кинцо» люди понимают. а вот криптографию — мягко говоря, не очень.
Выгода очевидней :-)
Уверяю Вас, человек у которого стырили денежку из-за халатного обращения с ключами шифрования, потом делает всё по инструкции и даже больше.>> Если появится технология, более защищённая, чем HTTPS и, в то же время,
>> простая в применении
> это невозможно. не бывает «простой в применении» криптобезопасности.Бывет. Одноразовые пароли через OTP-модули или даже SMS.
Весьма простое решение.> человек должен *понимать*, что делает и что при этом происходит, иначе даже
> самая совершенная система безопасности будет скомпрометирована при помощи
> прокладки между креслом и клавиатурой.Если удобство будет сопоставимо с использованием автосигнализации, этого будет вполне достаточно.
>> то люди начнут на неё переходить, а Mozilla поддержит это.
> очень сложно «начать переходить» на то, что не поддерживается.Вопрос времени.
>> Где-то ещё существует PGP, но мало кто знает где :-)
> а это опять из другой оперы.Из той же. Не нравится, что кто-то может издать дубликат Вашего сертификата - можете пользовать свой центр сертификации и даже альтернативное решение у себя на сервере для себя любимого, но о массовом применении этого решения Вашими клиентами придётся забыть.
>> Конечно технология должна быть удобна и безопасна для всех участников
> см. выше. ради безопасности *всегда* придётся жертвовать некими удобствами.Согласен. Нужен разумный компромисс.
> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?diginotar. trustwave. это уже на два раза больше, чем допустимо.
> Уверяю Вас, человек у которого стырили денежку из-за халатного обращения с ключами
> шифрования, потом делает всё по инструкции и даже больше.а надо, чтобы *до того*.
> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
> Весьма простое решение.(умилительно) офигенное «секурити».
> Если удобство будет сопоставимо с использованием автосигнализации, этого будет вполне
> достаточно.…для того, чтобы хомячок успокоился. но недостаточно для защиты. как-то фиговато сигнализация мешает и угонам, и кражам из салонов.
>>> то люди начнут на неё переходить, а Mozilla поддержит это.
>> очень сложно «начать переходить» на то, что не поддерживается.
> Вопрос времени.сколько бы времени ни прошло, перейти на то, что не поддерживается, не получится. просто потому, что оно не поддерживается.
> Из той же. Не нравится, что кто-то может издать дубликат Вашего сертификата
> — можете пользовать свой центр сертификации и даже альтернативное решение у
> себя на сервере для себя любимого, но о массовом применении этого
> решения Вашими клиентами придётся забыть.и о безопасности тоже не вспоминать. откуда мне, как клиенту, знать, что «самодельный» сертификат — настоящий?
>>> Конечно технология должна быть удобна и безопасна для всех участников
>> см. выше. ради безопасности *всегда* придётся жертвовать некими удобствами.
> Согласен. Нужен разумный компромисс.«компромиссы» в отношении безопасности работают только в одну сторону: убирают безопасность.
>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
> diginotar. trustwave. это уже на два раза больше, чем допустимо.Вы имеете в виду (возможный) выпуск левых сертификатов?
Т.е. если кто-то нарушил закон, то значит закон - фуфло?!
Напрашивается аналогия с правилами дорожного движения.>> Уверяю Вас, человек у которого стырили денежку из-за халатного обращения
>> с ключами шифрования, потом делает всё по инструкции и даже больше.
> а надо, чтобы *до того*.Кто ж захочет поумнеть, до "граблей"?
Человеки именно так и воспитываются.>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>> Весьма простое решение.
> (умилительно) офигенное «секурити».Что не так? Нормальное решение для двухфазной аутентификации. Даже в теории вероятности допускается, что произведение двух маловероятных событий считается событием невероятным. Я не очень сложно объясняю?
>> Если удобство будет сопоставимо с использованием автосигнализации,
>> этого будет вполне достаточно.
> …для того, чтобы хомячок успокоился. но недостаточно для защиты. как-то фиговато
> сигнализация мешает и угонам, и кражам из салонов.Есть конечно "одарённые" пользователи, оставляющие без присмотра и брелок от сигнализации. Но таким "хомячкам" только грабли помогут, даже целый курс хождения по граблям.
Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки больше.
>>>> то люди начнут на неё переходить, а Mozilla поддержит это.
>>> очень сложно «начать переходить» на то, что не поддерживается.
>> Вопрос времени.
> сколько бы времени ни прошло, перейти на то, что не поддерживается, не
> получится. просто потому, что оно не поддерживается.SPDY тоже пока не поддерживается, но скоро будет.
SSL тоже сначала не поддерживался.>> Из той же. Не нравится, что кто-то может издать дубликат Вашего сертификата
>> — можете пользовать свой центр сертификации и даже альтернативное решение у
>> себя на сервере для себя любимого, но о массовом применении этого
>> решения Вашими клиентами придётся забыть.
> и о безопасности тоже не вспоминать. откуда мне, как клиенту, знать, что
> «самодельный» сертификат — настоящий?Вы поставьте себя на место провайдера услуг. В том-то и дело, что забота о безопасности - это прежде всего его забота, а уж потом клиента. Клиент может просто следовать в русле, заданном поставщиком услуг. Или отказаться от услуги.
>>>> Конечно технология должна быть удобна и безопасна для всех участников
>>> см. выше. ради безопасности *всегда* придётся жертвовать некими удобствами.
>> Согласен. Нужен разумный компромисс.
> «компромиссы» в отношении безопасности работают только в одну сторону: убирают
> безопасность.В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной.
>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>> diginotar. trustwave. это уже на два раза больше, чем допустимо.
> Вы имеете в виду (возможный) выпуск левых сертификатов?да.
> Т.е. если кто-то нарушил закон, то значит закон — фуфло?!
> Напрашивается аналогия с правилами дорожного движения.нет, не напрашивается. дырка в системе мало того, что известна, но и была успешно использована. на публике. и не починена. а это автоматически означает, что уровень безопасности системы — нулевой.
> Кто ж захочет поумнеть, до «граблей»?
> Человеки именно так и воспитываются.да вот не хотят. я, например, тут уже сколько толкую, что безопасность https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи). ан нет, не доходит.
>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>>> Весьма простое решение.
>> (умилительно) офигенное «секурити».
> Что не так?всё не так. sms нельзя считать довереным каналом передачи даже если хорошо накушаться веществ. а «otp-модули»… только после аудита квалифицированой незаинтересованой стороной (если я верно понял, что подразумевается).
> Нормальное решение для двухфазной аутентификации.
нормальное. а надо — хорошее.
> Даже в теории вероятности
> допускается, что произведение двух маловероятных событий считается событием невероятным.я очень рад. то, что конкретно меня может сбить конкретная машина с конкретным номером в конкретное время — очень маловероятно. невероятно, фактически. однако если это произойдёт, я мало утешусь тем, что случилось «невероятное событие».
> Я не очень сложно объясняю?
нормально. для уровня человека, который о security слышал краем уха.
> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок от сигнализации.
> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по
> граблям.я думаю, владелец машины будет просто в восторге от того, что когда у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация таки визжала. как его от этого защитит носимый с собой брелок?
> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки
> больше.и поэтому мушину можно бросать где угодно: сигнализация же защитит!
> SPDY тоже пока не поддерживается
интересно, а зачем тогда в about:config опции со словом «spdy»? в частности, например, network.spdy.enabled?
> Вы поставьте себя на место провайдера услуг. В том-то и дело, что
> забота о безопасности — это прежде всего его забота, а уж
> потом клиента.нет. в такой ситуации ни о какой безопасности речи идти опять не может.
> Клиент может просто следовать в русле, заданном поставщиком услуг.
> Или отказаться от услуги.только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности ставит не на первое место и не думает об этом сам. увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего хорошего не получится.
>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают
>> безопасность.
> В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной.верно. но это ни разу не является причиной считать безопасным то, что уже как минимум два раза публично облажалось, и не подверглось с тех пор никакой починке.
>>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>>> diginotar. trustwave. это уже на два раза больше, чем допустимо.
>> Вы имеете в виду (возможный) выпуск левых сертификатов?
> да.Ну с кем не бывает. Технологией предусмотрены CRL-списки.
>> Т.е. если кто-то нарушил закон, то значит закон — фуфло?!
>> Напрашивается аналогия с правилами дорожного движения.
> нет, не напрашивается. дырка в системе мало того, что известна, но и
> была успешно использована. на публике.Есть ссылочка на эту демонстрацию?
>> Кто ж захочет поумнеть, до «граблей»?
>> Человеки именно так и воспитываются.
> да вот не хотят. я, например, тут уже сколько толкую, что безопасность
> https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи).
> ан нет, не доходит.Обжечься нужно чтобы понять, что ГОРЯЧО.
>>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>>>> Весьма простое решение.
>>> (умилительно) офигенное «секурити».
>> Что не так?
> всё не так. sms нельзя считать довереным каналом передачи даже если хорошо
> накушаться веществ. а «otp-модули»… только после аудита квалифицированой
> незаинтересованой стороной (если я верно понял, что подразумевается).По отдельности эти средства безопасности мало полезны, а вот в совокупности дают удовлетворительный эффект.
>> Нормальное решение для двухфазной аутентификации.
> нормальное. а надо — хорошее."Нормальное" здесь значит удовлетворительное. Приемлемое по цене/качеству. Для бизнеса это крайне важно. А предела совершенству нет, как известно.
>> Даже в теории вероятности
>> допускается, что произведение двух маловероятных событий считается
>> событием невероятным.
> я очень рад. то, что конкретно меня может сбить конкретная машина с
> конкретным номером в конкретное время — очень маловероятно. невероятно,
> фактически.
> однако если это произойдёт, я мало утешусь тем, что случилось «невероятное
> событие».Разработчики систем массового обслуживания (в т.ч. государство) сознательно пренебрегают такой "мелочью" как отдельные случаи.
>> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок
>> от сигнализации.
>> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по
>> граблям.
> я думаю, владелец машины будет просто в восторге от того, что когда
> у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация
> таки визжала. как его от этого защитит носимый с собой брелок?От рисунков гвоздиком на борту автомобиля сигнализация тоже не спасает :-)
Кстати, надеюсь Вы в курсе, от прямого попадания в ПК ядерной бомбы SSL тоже не защищает :-)Давайте всё-таки говорить о соизмеримых угрозах и средствах противодействия им.
>> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки
>> больше.
> и поэтому мушину можно бросать где угодно: сигнализация же защитит!"Абсолютно?" - конечно не защитит, но риск снизит. Особенно, если рядом будет стоять машина без сигнализации.
>> SPDY тоже пока не поддерживается
> интересно, а зачем тогда в about:config опции со словом «spdy»? в частности,
> например, network.spdy.enabled?Готовится. Уже есть массовое использование?
Да и потом, Вы себе же противоречите:
> сложно «начать переходить» на то, что не поддерживается.
>> Вы поставьте себя на место провайдера услуг. В том-то и дело, что
>> забота о безопасности — это прежде всего его забота, а уж
>> потом клиента.
> нет. в такой ситуации ни о какой безопасности речи идти опять не
> может.Голословно. Аргументы есть?
>> Клиент может просто следовать в русле, заданном поставщиком услуг.
>> Или отказаться от услуги.
> только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей
> безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности
> ставит не на первое место и не думает об этом сам.Я Вам даже больше скажу. В соглашении (договоре), как правило указывается, что риски компрометации ключей шифрования несёт клиент.
> увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего
> хорошего не получится.Согласен. Хотя и выбор у клиента небольшой: принять условия или отказаться от услуги этого поставщика.
>>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают
>>> безопасность.
>> В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной.
> верно. но это ни разу не является причиной считать безопасным то, что
> уже как минимум два раза публично облажалось, и не подверглось с
> тех пор никакой починке.Ссылочками поделитесь или в Гугл пошлёте? :-)
нет, не в гугель. намного дальше пошлю. иди, собственно.
> нет, не в гугель. намного дальше пошлю. иди, собственно.Ну вот, заземлилась энергия "аналитика".
>>> TCP:443 уже отлажен годами.
>> а trustwave, например, гарантирует отсутствие mitm, ага.
> HTTPS может и неидеален, но альтернатива где?Альтернатива чему? Замку, который можно открыть ногтем без ключа? Отсутствие любого замка — хорошая альтернатива. Всё равно те секунды, которых злоумышленнику стоит его открыть, не стоят тех часов, которых теряешь на его открытие/закрытие за весь год ты сам.
кстати, человек как раз наглядно демонстрирует опасность иллюзий: он считает, что https «пусть и немножко скомпрометирована, но обеспечивает безопасность». логика примерно того же уровня, что и в таком: написать на входной двери слова «тут очень надёжный замок» и верить, что это работает.
> кстати, человек как раз наглядно демонстрирует опасность иллюзий: он считает, что https
> «пусть и немножко скомпрометирована, но обеспечивает безопасность». логика
> примерно того же уровня, что и в таком: написать на входной
> двери слова «тут очень надёжный замок» и верить, что это работает.Правильней было бы сказать, что хоть какой-то замок лучше, чем совсем без замка.
Речь о том, чтобы свести к минимуму вероятность взлома в процессе короткой транзакции (клиент-банк). Понятное дело, что от спецслужб это не спасает и от других серьёзных охотников тоже. Но для массового банковского обслуживания, как ни странно, подходит. А это всё-таки реальные денежные риски! Или во всех банках одни лохи сидят?
> Или во всех банках одни лохи сидят?банку по барабану вообще. а вот во всяких root authorities таки лохов есть. и если бы банки *действительно* волновала безопасность…
>> Или во всех банках одни лохи сидят?
> банку по барабану вообще.Банк рискует деньгами и репутацией.
А что стоит за Вашими словами? Мечты о лучшей жизни на другой планете?
>>>> TCP:443 уже отлажен годами.
>>> а trustwave, например, гарантирует отсутствие mitm, ага.
>> HTTPS может и неидеален, но альтернатива где?
> Альтернатива чему? Замку, который можно открыть ногтем без ключа? Отсутствие любого замка
> — хорошая альтернатива. Всё равно те секунды, которых злоумышленнику стоит его
> открыть, не стоят тех часов, которых теряешь на его открытие/закрытие за
> весь год ты сам.Послушайте, коллега... Ну возьмите, для примера, клиент-банк. Отказаться от онлайна? Опять переходим на бумажные платёжки?!
Банки сделали двухфакторную аутентификацию, но от SSL не отказались. А одноразовые пароли ввели скорее из-за недоверия к защищённости ключей на стороне пользователя, чем к самой технологии SSL.
>>>>> TCP:443 уже отлажен годами.
>>>> а trustwave, например, гарантирует отсутствие mitm, ага.
>>> HTTPS может и неидеален, но альтернатива где?
>> Альтернатива чему? Замку, который можно открыть ногтем без ключа? Отсутствие любого замка
>> — хорошая альтернатива. Всё равно те секунды, которых злоумышленнику стоит его
>> открыть, не стоят тех часов, которых теряешь на его открытие/закрытие за
>> весь год ты сам.
> Послушайте, коллега... Ну возьмите, для примера, клиент-банк. Отказаться от онлайна? Опять
> переходим на бумажные платёжки?!Если тебе ДЕЙСТВИТЕЛЬНО важен твой кошелёк — отказывайся. Ну не обеспечивает тебе SSL никакой безопасности и никакой целостности. Ни-ка-кой. Вообще. Как и замок, который открывается всем подряд без ключа. А если нет никакой разницы в безопасности и целостеости, зачем лишний оверхед?
>>>>>> TCP:443 уже отлажен годами.
>>>>> а trustwave, например, гарантирует отсутствие mitm, ага.
>>>> HTTPS может и неидеален, но альтернатива где?
>>> Альтернатива чему? Замку, который можно открыть ногтем без ключа? Отсутствие любого замка
>>> — хорошая альтернатива. Всё равно те секунды, которых злоумышленнику стоит его
>>> открыть, не стоят тех часов, которых теряешь на его открытие/закрытие за
>>> весь год ты сам.
>> Послушайте, коллега... Ну возьмите, для примера, клиент-банк. Отказаться от онлайна? Опять
>> переходим на бумажные платёжки?!
> Если тебе ДЕЙСТВИТЕЛЬНО важен твой кошелёк — отказывайся.Частник это ещё может быть и переживёт, но для бизнеса сегодня это уже невозможно.
> Ну не обеспечивает тебе
> SSL никакой безопасности и никакой целостности. Ни-ка-кой. Вообще.Не нужно повторять это тысячу раз как молитву. Слаще от слова "сахар" не становится.
Достаточно одного логического довода.Вы уж извините меня, но на фоне Ваших "доказательств" убедительней выглядят банкиры, рискующие деньгами и репутацией.
> Вы уж извините меня, но на фоне Ваших «доказательств» убедительней выглядят банкиры,
> рискующие деньгами и репутацией.да ничем они не рискуют. вообще. «мы предупреждали. а доцент тупой. сам виноват.»
Average page load times for SPDY-over-TCP
1% loss: 6690 ms
2% loss: 8823 msAverage page load times for SPDY-over-SCTP (with a control stream)
1% loss: 6190 ms
2% loss: 7350 msDifference in average page load time (positive number means SCTP was faster than TCP, on average)
1% loss: 500 ms
2% loss: 1473 ms
http://habrahabr.ru/post/117230/#comment_3812340http://habrahabr.ru/post/117230/#comment_3811819
Гипотеза: Гугл продвигает протокол опритизированный для собственных нужд.
> Гипотеза: Гугл продвигает протокол опритизированный для собственных нужд.Ну если так подумать - кто в трезвом уме и здравой памяти будет продвигать что-то, что ему самому нахрен не нужно? Конечно продвигает. Впрочем, само по себе это зла не несет.
для копирайтеров нормально будет
> для копирайтеров нормально будетКаким местом это для ребят, которые пишут рекламные листовки?
> для копирайтеров нормально будетА какое дело копирайтерам до SPDY? O_O
В Google уже осознали, что со SPDY они лажанулись, и изобретают QUIC: http://en.wikipedia.org/wiki/QUIC
> В Google уже осознали, что со SPDY они лажанулись, и изобретают QUIC:
> http://en.wikipedia.org/wiki/QUICОдно другому не мешает. Пусть экспериментируют. Время покажет какие опытные образцы закрепятся на рынке. По крайней мере видно, что в лабораториях Google не зря ребята хлеб едят.
Давно пора.
"разработанный компанией Google протокол SPY".... - Протокол-шпион????
- Простите, не SPY a SPDY...
> «разработанный компанией Google протокол SPY»…. — Протокол-шпион????
> — Простите, не SPY a SPDY…а по-моему, «SPY» лучше…
