#? А есть ли вещи, которые вы принципиально не понимаете
От: b0r3d0m  
Дата: 23.09.16 22:47
Оценка:
Сабж.

Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.
Re: #? А есть ли вещи, которые вы принципиально не понимаете
От: Слава  
Дата: 24.09.16 01:06
Оценка:
Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.


B>Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.


Так это именно что для приложений. То есть, взять draw.io — ну как это изобразить в виде классического сайта? И зачем?

Уже второй вопрос — а зачем это SPA тянут за уши туда, где оно не нужно. Ответ — потому что это модно.
Re: #? А есть ли вещи, которые вы принципиально не понимаете
От: _Raz_  
Дата: 24.09.16 05:45
Оценка:
Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.


Отсутствие протокола аутентификации.

Каждый ouath провайдер отдает мой e-mail , а большинство и имя .

Авторизуясь на сайте Васи Пупкина, я готов на то, что моя Большая Социальная Сеть предоставить ему мой One Time Password, а остальное с моего отдельного разрешения. Но ведь так никто не делает

Казалось бы, каждая лишняя строчка моего профиля — это лишняя копеечка дядям в соцсети. А они раздают это даром Там же все маньяки слежки — так почему не отслеживают мою активность на сайте Васи Пупкина в виде переобновления токенов доступа и наборов разрешений?
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re: #? А есть ли вещи, которые вы принципиально не понимаете
От: _Raz_  
Дата: 24.09.16 05:52
Оценка:
Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.


Навязывание https

Дошло до того, что гугл говорил о том, что сайты по https работают быстрее

Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[2]: #? А есть ли вещи, которые вы принципиально не понимаете
От: Anton Batenev Россия https://github.com/abbat
Дата: 24.09.16 11:25
Оценка:
Здравствуйте, _Raz_, Вы писали:

R> Навязывание https


Разве его навязывают?

R> Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.


Ну наоборот же Люди (пока не все, но уже достаточно) начали понимать ценность своих данных.
Бэкапимся на Яндекс.Диск
Re[2]: #? А есть ли вещи, которые вы принципиально не понимаете
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 24.09.16 12:41
Оценка: 4 (2) +3
Здравствуйте, _Raz_, Вы писали:

_R_>Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.


Ох уж эта мнительность. Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков. А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[2]: #? А есть ли вещи, которые вы принципиально не понимаете
От: Васисуалий Пупкиндт Россия  
Дата: 24.09.16 13:44
Оценка:
Здравствуйте, _Raz_, Вы писали:

_R_>Дошло до того, что гугл говорил о том, что сайты по https работают быстрее


Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP. В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером. Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков. Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
От: _Raz_  
Дата: 24.09.16 13:57
Оценка: :)
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Ох уж эта мнительность.


Есть такое дело.

KV>Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков.


Вот утомили борцы за мою безопасность. Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности

KV>А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.


Мое чувство толкует мне, что я товар и мной торгуют. И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
От: _Raz_  
Дата: 24.09.16 14:07
Оценка:
Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.


Уже время.

ВП> В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером.


Продвинутых

ВП> Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков.


Keep-Alive, минификация, спрайты... Кеширование, в том числе и public, которое по определению не работает в https.

ВП> Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.


Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.

Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[4]: #? А есть ли вещи, которые вы принципиально не понимаете
От: Васисуалий Пупкиндт Россия  
Дата: 24.09.16 14:37
Оценка:
Здравствуйте, _Raz_, Вы писали:

_R_>Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.


Вот наглядный пример:
https://http2.akamai.com/demo

_R_>Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https


А почему нет? Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня. TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Re[5]: #? А есть ли вещи, которые вы принципиально не понимаете
От: _Raz_  
Дата: 24.09.16 14:53
Оценка:
Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> А почему нет?


Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?

ВП> Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня.


Так озвучь эти возможности.

ВП> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.


Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[6]: #? А есть ли вещи, которые вы принципиально не понимаете
От: Васисуалий Пупкиндт Россия  
Дата: 24.09.16 15:27
Оценка:
Здравствуйте, _Raz_, Вы писали:

_R_>Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?


Ссылку на демку я дал выше. Она наглядно показывает что дает.

ВП>> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.

_R_>Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?

Дополнительные расходы есть, но в итоге плюсов больше (см. демку). TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Re[7]: #? А есть ли вещи, которые вы принципиально не понимаете
От: _Raz_  
Дата: 24.09.16 16:31
Оценка:
Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> Ссылку на демку я дал выше. Она наглядно показывает что дает.


Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.
Во-вторых, я уже писал про уже существующие keep-alive и кэши.

ВП> TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.


Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".

И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[8]: #? А есть ли вещи, которые вы принципиально не понима
От: Васисуалий Пупкиндт Россия  
Дата: 24.09.16 18:06
Оценка: +1
Здравствуйте, _Raz_, Вы писали:

ВП>> Ссылку на демку я дал выше. Она наглядно показывает что дает.

_R_>Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.

Пример демонстрирует как работает переключение на HTTP/2, и как с этим протоколом увеличивается скорость загрузки страниц с большим количеством элементов. В данном случае два раза.
Влияние шифрования при этом минимальное. Производительность растет за счет более оптимального алгоритма передачи данных, учитывающего особенности TCP и типичного сайтового трафика. И на сервере если что и меняется в плане нагрузки, то в основном из-за особенностей протоколов HTTP/2 и SPDY, а не TLS. На клиенте разницу по расходу ресурсов вообще не заметно.

_R_>Во-вторых, я уже писал про уже существующие keep-alive и кэши.


keep-alive на уровне HTTP поддерживаются. А кого в 21 веке волнуют кэши в промежуточных прокси я хз.

_R_>Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".


TLS поддерживает расширения протокола. В данном случае речь об ALPN:
https://en.wikipedia.org/wiki/Application-Layer_Protocol_Negotiation

Это механизм для согласования переключения на протоколы альтернативные HTTP. Это удобно, закреплено в RFC и уже поддержано в основных браузерах.
Для кода браузеров связанного передачей HTTP переключение на альтернативный протокол происходит прозрачно. То есть добавляется только еще один уровень абстракции над TLS, а существующие методы HTTP клиента в браузерах при этом остаются без изменений.

Все это поддерживается и работает уже сейчас на крупных сайтах, к примеру avito.ru, google.com, youtube.com и т.д. Можно если интересно в Chrome поставить расширение, которое показывает какой протокол используется в данный момент.

_R_>И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".


Видимо есть смысл самостоятельно оценить разницу. Можно отключить в Chrome поддержку SPDY, HTTP/2 и QUIC, и сравнить как youtube будет открываться по-старинке, раза в два медленнее. Может в этот момент и пройдет это самое, принципиальное непонимание
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Отредактировано 24.09.2016 19:47 Васисуалий Пупкиндт . Предыдущая версия .
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
От: antropolog  
Дата: 24.09.16 18:10
Оценка:
Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП>Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.

чтож за ахинею ты несёшь
пожалуйста, обрати внимание, на каких уровнях OSI находятся TLS и http/2
Re[4]: #? А есть ли вещи, которые вы принципиально не понимаете
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 24.09.16 19:08
Оценка:
Здравствуйте, _Raz_, Вы писали:
_R_>Здравствуйте, kochetkov.vladimir, Вы писали:

_R_>Вот утомили борцы за мою безопасность.


Да я только начал

_R_>Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности


Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?

_R_>Мое чувство толкует мне, что я товар и мной торгуют.


Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.

_R_>И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).


Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: #? А есть ли вещи, которые вы принципиально не понимаете
От: Васисуалий Пупкиндт Россия  
Дата: 24.09.16 19:09
Оценка: 2 (1) +1
Здравствуйте, antropolog, Вы писали:

A>чтож за ахинею ты несёшь

A>пожалуйста, обрати внимание, на каких уровнях OSI находятся TLS и http/2

https://en.wikipedia.org/wiki/Application-Layer_Protocol_Negotiation
https://tools.ietf.org/html/rfc7540#section-3.3
https://tools.ietf.org/html/rfc7301

Дополнительно нужно что-то объяснять?
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Re[6]: #? А есть ли вещи, которые вы принципиально не понимаете
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 24.09.16 19:32
Оценка: +1
Здравствуйте, _Raz_, Вы писали:

_R_>Вот что дает https, кроме накладных расходов?


HTTPS даёт защиту HTTP-трафика от атак класса man-in-the-middle. И это, к слову сказать, его единственное предназначение. Его использование для чего-то другого можно смело считать профанацией.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
От: Лось Чтостряслось СССР  
Дата: 24.09.16 19:35
Оценка:
Здравствуйте, Anton Batenev, Вы писали:

AB>Разве его навязывают?


яблоко навязывает
социализм или варварство
Re[5]: #? А есть ли вещи, которые вы принципиально не понимаете
От: _Raz_  
Дата: 24.09.16 20:03
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?


А зачем ограничиваться MITM? Вбиваем в поисковик "подделка ssl сертификатов" и наслаждаемся. И что получается? А голый король получается. И это в сфере безопасности Да и еще и выдается за панацею

KV>Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.


Помним-помним А куда я денусь с подводной лодки?

KV>Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.


Да понимаю, что так себе. Но других нет, а уверенность в том, что гугл не корпорация добра и ради моей безопасности и пальцем не шевельнет есть. Вот в чем профит гугла во всеобщем https?
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.