Сабж.

Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.

Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.

B>Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.

Так это именно что для приложений. То есть, взять draw.io — ну как это изобразить в виде классического сайта? И зачем?

Уже второй вопрос — а зачем это SPA тянут за уши туда, где оно не нужно. Ответ — потому что это модно.

Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.

Отсутствие протокола аутентификации.

Каждый ouath провайдер отдает мой e-mail , а большинство и имя .

Авторизуясь на сайте Васи Пупкина, я готов на то, что моя Большая Социальная Сеть предоставить ему мой One Time Password, а остальное с моего отдельного разрешения. Но ведь так никто не делает

Казалось бы, каждая лишняя строчка моего профиля — это лишняя копеечка дядям в соцсети. А они раздают это даром Там же все маньяки слежки — так почему не отслеживают мою активность на сайте Васи Пупкина в виде переобновления токенов доступа и наборов разрешений?

Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.

Навязывание https

Дошло до того, что гугл говорил о том, что сайты по https работают быстрее

Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

Здравствуйте, _Raz_, Вы писали:

R> Навязывание https

Разве его навязывают?

R> Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

Ну наоборот же Люди (пока не все, но уже достаточно) начали понимать ценность своих данных.

Здравствуйте, _Raz_, Вы писали:

_R_>Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

Ох уж эта мнительность. Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков. А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.

Здравствуйте, _Raz_, Вы писали:

_R_>Дошло до того, что гугл говорил о том, что сайты по https работают быстрее

Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP. В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером. Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков. Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Ох уж эта мнительность.

Есть такое дело.

KV>Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков.

Вот утомили борцы за мою безопасность. Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности

KV>А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.

Мое чувство толкует мне, что я товар и мной торгуют. И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.

Уже время.

ВП> В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером.

Продвинутых

ВП> Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков.

Keep-Alive, минификация, спрайты... Кеширование, в том числе и public, которое по определению не работает в https.

ВП> Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.

Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.

Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https

Здравствуйте, _Raz_, Вы писали:

_R_>Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.

Вот наглядный пример:
https://http2.akamai.com/demo

_R_>Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https

А почему нет? Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня. TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> А почему нет?

Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?

ВП> Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня.

Так озвучь эти возможности.

ВП> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.

Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?

Здравствуйте, _Raz_, Вы писали:

_R_>Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?

Ссылку на демку я дал выше. Она наглядно показывает что дает.

ВП>> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.
_R_>Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?

Дополнительные расходы есть, но в итоге плюсов больше (см. демку). TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> Ссылку на демку я дал выше. Она наглядно показывает что дает.

Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.
Во-вторых, я уже писал про уже существующие keep-alive и кэши.

ВП> TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.

Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".

И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".

Здравствуйте, _Raz_, Вы писали:

ВП>> Ссылку на демку я дал выше. Она наглядно показывает что дает.
_R_>Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.

Пример демонстрирует как работает переключение на HTTP/2, и как с этим протоколом увеличивается скорость загрузки страниц с большим количеством элементов. В данном случае два раза.
Влияние шифрования при этом минимальное. Производительность растет за счет более оптимального алгоритма передачи данных, учитывающего особенности TCP и типичного сайтового трафика. И на сервере если что и меняется в плане нагрузки, то в основном из-за особенностей протоколов HTTP/2 и SPDY, а не TLS. На клиенте разницу по расходу ресурсов вообще не заметно.

_R_>Во-вторых, я уже писал про уже существующие keep-alive и кэши.

keep-alive на уровне HTTP поддерживаются. А кого в 21 веке волнуют кэши в промежуточных прокси я хз.

_R_>Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".

TLS поддерживает расширения протокола. В данном случае речь об ALPN:
https://en.wikipedia.org/wiki/Application-Layer_Protocol_Negotiation

Это механизм для согласования переключения на протоколы альтернативные HTTP. Это удобно, закреплено в RFC и уже поддержано в основных браузерах.
Для кода браузеров связанного передачей HTTP переключение на альтернативный протокол происходит прозрачно. То есть добавляется только еще один уровень абстракции над TLS, а существующие методы HTTP клиента в браузерах при этом остаются без изменений.

Все это поддерживается и работает уже сейчас на крупных сайтах, к примеру avito.ru, google.com, youtube.com и т.д. Можно если интересно в Chrome поставить расширение, которое показывает какой протокол используется в данный момент.

_R_>И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".

Видимо есть смысл самостоятельно оценить разницу. Можно отключить в Chrome поддержку SPDY, HTTP/2 и QUIC, и сравнить как youtube будет открываться по-старинке, раза в два медленнее. Может в этот момент и пройдет это самое, принципиальное непонимание

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП>Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.
чтож за ахинею ты несёшь
пожалуйста, обрати внимание, на каких уровнях OSI находятся TLS и http/2

Здравствуйте, _Raz_, Вы писали:
_R_>Здравствуйте, kochetkov.vladimir, Вы писали:

_R_>Вот утомили борцы за мою безопасность.

Да я только начал

_R_>Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности

Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?

_R_>Мое чувство толкует мне, что я товар и мной торгуют.

Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.

_R_>И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).

Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.

Здравствуйте, antropolog, Вы писали:

A>чтож за ахинею ты несёшь
A>пожалуйста, обрати внимание, на каких уровнях OSI находятся TLS и http/2

https://en.wikipedia.org/wiki/Application-Layer_Protocol_Negotiation
https://tools.ietf.org/html/rfc7540#section-3.3
https://tools.ietf.org/html/rfc7301

Дополнительно нужно что-то объяснять?

Здравствуйте, _Raz_, Вы писали:

_R_>Вот что дает https, кроме накладных расходов?

HTTPS даёт защиту HTTP-трафика от атак класса man-in-the-middle. И это, к слову сказать, его единственное предназначение. Его использование для чего-то другого можно смело считать профанацией.

Здравствуйте, Anton Batenev, Вы писали:

AB>Разве его навязывают?

яблоко навязывает

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?

А зачем ограничиваться MITM? Вбиваем в поисковик "подделка ssl сертификатов" и наслаждаемся. И что получается? А голый король получается. И это в сфере безопасности Да и еще и выдается за панацею

KV>Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.

Помним-помним А куда я денусь с подводной лодки?

KV>Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.

Да понимаю, что так себе. Но других нет, а уверенность в том, что гугл не корпорация добра и ради моей безопасности и пальцем не шевельнет есть. Вот в чем профит гугла во всеобщем https?