Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.
Re: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, b0r3d0m, Вы писали:
B>Сабж.
B>Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.
Так это именно что для приложений. То есть, взять draw.io — ну как это изобразить в виде классического сайта? И зачем?
Уже второй вопрос — а зачем это SPA тянут за уши туда, где оно не нужно. Ответ — потому что это модно.
Re: #? А есть ли вещи, которые вы принципиально не понимаете
Каждый ouath провайдер отдает мой e-mail , а большинство и имя .
Авторизуясь на сайте Васи Пупкина, я готов на то, что моя Большая Социальная Сеть предоставить ему мой One Time Password, а остальное с моего отдельного разрешения. Но ведь так никто не делает
Казалось бы, каждая лишняя строчка моего профиля — это лишняя копеечка дядям в соцсети. А они раздают это даром Там же все маньяки слежки — так почему не отслеживают мою активность на сайте Васи Пупкина в виде переобновления токенов доступа и наборов разрешений?
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, _Raz_, Вы писали:
_R_>Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.
Ох уж эта мнительность. Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков. А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.
Здравствуйте, _Raz_, Вы писали:
_R_>Дошло до того, что гугл говорил о том, что сайты по https работают быстрее
Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP. В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером. Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков. Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ох уж эта мнительность.
Есть такое дело.
KV>Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков.
Вот утомили борцы за мою безопасность. Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности
KV>А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.
Мое чувство толкует мне, что я товар и мной торгуют. И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, Васисуалий Пупкиндт, Вы писали:
ВП> Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.
Уже время.
ВП> В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером.
Продвинутых
ВП> Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков.
Keep-Alive, минификация, спрайты... Кеширование, в том числе и public, которое по определению не работает в https.
ВП> Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.
Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.
Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[4]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, _Raz_, Вы писали:
_R_>Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.
Вот наглядный пример: https://http2.akamai.com/demo
_R_>Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https
А почему нет? Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня. TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Re[5]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, Васисуалий Пупкиндт, Вы писали:
ВП> А почему нет?
Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?
ВП> Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня.
Так озвучь эти возможности.
ВП> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.
Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[6]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, _Raz_, Вы писали:
_R_>Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?
Ссылку на демку я дал выше. Она наглядно показывает что дает.
ВП>> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук. _R_>Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?
Дополнительные расходы есть, но в итоге плюсов больше (см. демку). TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.
▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬
Мы — то, во что верим.
Re[7]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, Васисуалий Пупкиндт, Вы писали:
ВП> Ссылку на демку я дал выше. Она наглядно показывает что дает.
Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.
Во-вторых, я уже писал про уже существующие keep-alive и кэши.
ВП> TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.
Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".
И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[8]: #? А есть ли вещи, которые вы принципиально не понима
Здравствуйте, _Raz_, Вы писали:
ВП>> Ссылку на демку я дал выше. Она наглядно показывает что дает. _R_>Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.
Пример демонстрирует как работает переключение на HTTP/2, и как с этим протоколом увеличивается скорость загрузки страниц с большим количеством элементов. В данном случае два раза.
Влияние шифрования при этом минимальное. Производительность растет за счет более оптимального алгоритма передачи данных, учитывающего особенности TCP и типичного сайтового трафика. И на сервере если что и меняется в плане нагрузки, то в основном из-за особенностей протоколов HTTP/2 и SPDY, а не TLS. На клиенте разницу по расходу ресурсов вообще не заметно.
_R_>Во-вторых, я уже писал про уже существующие keep-alive и кэши.
keep-alive на уровне HTTP поддерживаются. А кого в 21 веке волнуют кэши в промежуточных прокси я хз.
_R_>Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".
Это механизм для согласования переключения на протоколы альтернативные HTTP. Это удобно, закреплено в RFC и уже поддержано в основных браузерах.
Для кода браузеров связанного передачей HTTP переключение на альтернативный протокол происходит прозрачно. То есть добавляется только еще один уровень абстракции над TLS, а существующие методы HTTP клиента в браузерах при этом остаются без изменений.
Все это поддерживается и работает уже сейчас на крупных сайтах, к примеру avito.ru, google.com, youtube.com и т.д. Можно если интересно в Chrome поставить расширение, которое показывает какой протокол используется в данный момент.
_R_>И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".
Видимо есть смысл самостоятельно оценить разницу. Можно отключить в Chrome поддержку SPDY, HTTP/2 и QUIC, и сравнить как youtube будет открываться по-старинке, раза в два медленнее. Может в этот момент и пройдет это самое, принципиальное непонимание
Здравствуйте, Васисуалий Пупкиндт, Вы писали:
ВП>Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.
чтож за ахинею ты несёшь
пожалуйста, обрати внимание, на каких уровнях OSI находятся TLS и http/2
Re[4]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, _Raz_, Вы писали: _R_>Здравствуйте, kochetkov.vladimir, Вы писали:
_R_>Вот утомили борцы за мою безопасность.
Да я только начал
_R_>Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности
Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?
_R_>Мое чувство толкует мне, что я товар и мной торгуют.
Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.
_R_>И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).
Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.
Здравствуйте, _Raz_, Вы писали:
_R_>Вот что дает https, кроме накладных расходов?
HTTPS даёт защиту HTTP-трафика от атак класса man-in-the-middle. И это, к слову сказать, его единственное предназначение. Его использование для чего-то другого можно смело считать профанацией.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?
А зачем ограничиваться MITM? Вбиваем в поисковик "подделка ssl сертификатов" и наслаждаемся. И что получается? А голый король получается. И это в сфере безопасности Да и еще и выдается за панацею
KV>Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.
Помним-помним А куда я денусь с подводной лодки?
KV>Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.
Да понимаю, что так себе. Но других нет, а уверенность в том, что гугл не корпорация добра и ради моей безопасности и пальцем не шевельнет есть. Вот в чем профит гугла во всеобщем https?
, а большинство и имя 
.
Там же все маньяки слежки — так почему не отслеживают мою активность на сайте Васи Пупкина в виде переобновления токенов доступа и наборов разрешений?
Люди (пока не все, но уже достаточно) начали понимать ценность своих данных.
