Вот уже несколько лет слежу как Гугл медленно но верно подминает под себя весь децентрализованный интернет:
Этап первый — сделаем самый быстрый, самый удобный для пользователей, самый удобный для разработчиков браузер, самый самый самый.... Хорошо что ОС на нем сразу не зашла, было бы проще.
Этап второй — возьмем "скриптовый недоязык" изначально не приспособленный ни для чего, кроме вывода менюшек и ввода данных кредиток, изначально сделанный автором на коленке за неделю. Возглавим это безобразие. Возведем хайп до небес, напишем сложнейшие JIT компиляторы, оптимизаторы, фреймворки, бросим лучшие умы человечества на создание движка, который в реальном времени сам догадается что хотел сказать автор и все выпрямит, сам заведет нужные типы, классы т.д. Убъем все атернативы Flash, Silverlight, Java, вообще все альтернативы, которые не позволяют движку анализировать куда и зачем ходит пользователь. Из интерпретатора языка с динамической типизацией скорее всего больше и не выжать.
Этап третий — благодаря жадности и нерасторопности тупых конкурентов, пиарим и рекламируем свой новый браузер из всех утюгов. Объявляем его самым свободным и самым правильным. Обязательно все выкладываем в опенсорс, куда же без него. Ничего что средний разработчик даже собрать его у себя не сможет без создания мини фермы из нескольких компьютеров.
Этап четвертый — используя админресурс, ничего не меняя в самой архитектуре протоколов, объявляем HTTP виновником всех человеческих пороков и пересаживаем всех на тяжелый "безопасный" HTTPS. Ничего что центры сертификации за деньги выдают ключи кому попало, главное что теперь любой неугодный сайт может быть помечен как богомерзкий и забанен на уровне браузера на раз-два.
Этап пятый — используя админресурс, не меняя подход к построение современного WEB, объявляем TCP виновником всех тормозов и самым неудачным и медленным протоколом в истории IT. HTTP2 — наше все. Теперь мы на коне и напрямую влияем на архитектуру и развитие протоколов обмена в интернете. Теперь никому, даже в самом страшном сне, не приснится слезть с Chrome-а и повторить и перепроектировать всю эту сложную инфраструктуру заново.
Этап шестой — все стало настолько безопасно и секьюрно, что остался последний этап. Нужно весь этот "неперехватываемый" (конкурентами) трафик завести через свой датацентр и все станет еще безопасней. Тут не повезло DNS. Поднимаем вой — пользователи в опасности. Срочно всем перейти на DOH. А для тех кто не понял, есть отличные наработки на четвертом и пятом этапах.
Ты не мне объясняй, а бабушке. Какая разница между соединением и сайтом? Она не понимает, у нее в лучшем случае адрес есть, он безопасен?
AB>Что же касается пользователей, то они и тогда и сейчас не имеют представления о том, что это и с чем это едят, так что они ничего и не заметили в основной своей массе — попаболь только у неосиляторов, тех кто пользовался незащищенностью соединения в корыстных целях и тех, кого бесплатные сертификаты лишили возможности торговать воздухом. Ты из какой категории?
Я из тех, кому не нужно необоснованное увеличение энтропии, вроде шифрование для сайтов-визиток. И против тех, кто насаждает правила насильно. Когда это делает государство, это еще можно принять в виде неизбежности, а иногда и спросить с него, но когда этим занимается заокеанская корпорация в своих интересах — нет.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Вы правильно пишете. Но проблема не в барыжном гугле, который перестал считаться с мнениями инженеров старой школы, а в том как его "боготворит" большинство из-за монопольного положения. Это всё чисто психологическое. Игры брендов, архетипов. Инженерный путь в IT закончился в середине 2000-х, сейчас сама технология вторична и необязательно должна быть оптимальна, потому что является скорее маркетинговым приёмом, способом борьбы за рынок, способом привязки пользователей к поставщику услуг. Безусловно, так не должно быть, если речь идёт о стандартах, поэтому в сообществе желательно проводить разъяснительную работу, и объяснять скрытый смысл происходящего.
Re[10]: Кажется кто-то что-то начал подозревать...
Здравствуйте, Anton Batenev, Вы писали:
AB>Бабушке нужно объяснять не разницу между соединением и сайтом, а то, что вводить чувствительные данные в интернете надо крайне осторожно. Какой там транспорт на каких уровнях будет под капотом ее интересовать не должно.
Но ведь значок, надпись про безопасность, зеленый цвет за каким-то хреном выпятили?
AB>Тип сайта не имеет абсолютно никакого значения для решаемой при помощи TLS задачи. Защита от MITM — это не только защита от чтения данных (с которым справляется шифрование), но и защита от их изменения.
Вот кывт уже сколько лет отлично живет без всякого обязательного https, и вроде бы от MITM не страдает, хотя другие атаки периодически бывают. А все потому, что для реализации такой атаки одного лишь нешифрованного протокола недостаточно, нужна еще точка, где можно влезть в трафик, а для неуловимого Джо никто ее организовывать не будет.
AB>TLS everywhere назрел давно и форсился в той или иной степени практически всеми IT компаниями. Гугл просто большой и по этому заметнее, но он как раз это делал наиболее аккуратно и осторожно (что, к сожалению, сильно всех замедлило).
Что? Это именно гугл, пользуясь монополией на рынке поиска, фактически запретил использовать простой http, снизив ранжирование таких сайтов. Претензии ведь именно к принуждению 3-х лиц.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, scf, Вы писали:
scf>Гугл, конечно, злоупотребляет своим положением фактического монополиста на рынке браузеров, но не настолько scf>Например, один из первых SPA, google mail, появился задолго до выхода хрома.
Ну так это просто был Этап номер ноль: сделать полезные сервисы, подсадить на них пользователей, чтобы, для начала, вообще объяснить зачем им постоянно сидеть в браузере и все делать только там . Гениальность Гугла в том, что он одним из первых почувствовал зарождение нового рынка и всячески способствовал его созданию.
scf>Бесплатный dns и всякие vpn-ы — закономерное следсвие удешевления серверов/траффика и удорожания данных о поведении пользователей.
Это и напрягает. Под благовидным предлогом заботы о пользователях они наоборот снимают все больше и больше информации, утечка которой может привести к гораздо большим последствиям, чем то, с чем они, якобы, борются.
Здравствуйте, Videoman, Вы писали:
V>Этап третий — благодаря жадности и нерасторопности тупых конкурентов, пиарим и рекламируем свой новый браузер из всех утюгов. Объявляем его самым свободным и самым правильным. Обязательно все выкладываем в опенсорс, куда же без него. Ничего что средний разработчик даже собрать его у себя не сможет без создания мини фермы из нескольких компьютеров.
всё нормально собирается без всяких ферм и мегамашин на восьмилетней старости i7 с 32гб, конечно, не как блокнот, но терпимо.
Здравствуйте, k0d3r, Вы писали:
K>Вы правильно пишете. Но проблема не в барыжном гугле, который перестал считаться с мнениями инженеров старой школы, а в том как его "боготворит" большинство из-за монопольного положения. Это всё чисто психологическое. Игры брендов, архетипов. Инженерный путь в IT закончился в середине 2000-х, сейчас сама технология вторична и необязательно должна быть оптимальна, потому что является скорее маркетинговым приёмом, способом борьбы за рынок, способом привязки пользователей к поставщику услуг. Безусловно, так не должно быть, если речь идёт о стандартах, поэтому в сообществе желательно проводить разъяснительную работу, и объяснять скрытый смысл происходящего.
Согласен с вами. Но к сожалею, я вижу что у людей которые плотно сидят на WEB прослеживается "Стокгольмский синдром". Они не видят себя со стороны и им просто некогда, нужно срочно изучать очередной "новейший" фреймворк или технологию. Вы абсолютно правильно сказали, здесь, как и все массовое, все развивается по законам маркетологов, т.к. технически все очень примитивно (я не беру браузер, конечно).
По работе я, частично, выступаю как бекэнд. Швыряю им JSON туда/сюда, пусть наслаждаются. Вот сижу в сторонке и смотрю как люди жуют кактус.
Здравствуйте, Mamut, Вы писали:
M>«Для того, чтобы это сделать, надо всего ничего. Вот маленький трюк, который вам поможет поступить так же»
Так я же говорю что это было просто. Возможно это было очень не просто, мы не знаем. Возможно многие пытались, но просто не смогли. Рынок вообще так устроен, все в конечном счете сведется к монополии (так как в основе уменьшение издержек), не важно Google это или Microsoft или кто-то другой. Но факт в том, что сейчас этот злодей это — Google. То что это было не просто, им им это удалось, не оправдывает того что они делают.
V>>сделаем самый быстрый, самый удобный для пользователей, самый удобный для разработчиков браузер, самый самый самый.... V>>Возглавим разработку JS V>> Убъем все атернативы Flash, Silverlight, Java, вообще все альтернативы V>>пересаживаем всех на тяжелый "безопасный" HTTPS. V>>Пересаживаем всех на HTTP2.
Если так подумать, а что тут такого:
— к моменту создания Хрома, они уже были почти монополистом в поиске в интернет (ну кто-то же должен быть)
— это была уже огромная корпорация с кучей бабла, и специализировалась она на краже пользовательских данных, для продажи рекламщикам
— это их профиль, браузер стал основой основ в интернете
— они это делали постепенно, очень медленно варили лягушку
M>Всего-то ничего. (Особенно смешно про убиение Flash'а, ага)
Ну помог им еще один жадный человек, который, кстати, тоже не думал о высоком, а просто стремился пустить все денежные потоки в App Store, ничего личного. Ну а они просто добили,
случайно, ну бывает.
Здравствуйте, Anton Batenev, Вы писали:
AB>Единственная задача, для которой предназначен HTTPS и которую он решает — это защита от MITM. Ни к осторожности ни к паролям он не имеет отношения.
Это ты будешь бабушке рассказывать. А гугл (да, да, сам гугл!!!111) говорит, что если у тебя есть https, то сайт безопасен. Просто безопасен, без пояснений, да и будь они, никто разбираться что такое MITM не будет. Но главное уже до пользователя донесли — безопасен.
ИМХО, тут небезопасен сам гугл и прочие производители браузеров, вводящие пользователей в заблуждение.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Mamut, Вы писали:
M>Еще раз: Гугл вообще приложил ноль усилий к смерти Флэша. Наоборот, они до конца его поддерживали. Вон даже придумали костыли, чтобы заставить его работать там, где он не поддерживался.
Нет, это были не костыли. Это было средство сделать флэш ненужным.
M>>Еще раз: Гугл вообще приложил ноль усилий к смерти Флэша. Наоборот, они до конца его поддерживали. Вон даже придумали костыли, чтобы заставить его работать там, где он не поддерживался.
C>Нет, это были не костыли. Это было средство сделать флэш ненужным.
Apple в 2010-м: Флэша на айфоне не будет
Adobe в 2012-м: Мы перестаем поддерживать флэш на Андроидах, начиная с Андроида 4.1
Гугл в 2015-м: блин, надо приложить все усилия, чтобы все же заставить флэш работать там, где для него нет никакой поддержки
...
codealot в 2019-м: Гугл присоединился к Эпплу и делал все, чтобы убить флэш!
M>>В 2008-м уже вышла первая версия стандарта. Работа над новым стандартом велась с 2004 года. И этим занимались те самые «крупные компании, включая Гугл». Но да, но да. «Объединились для работы над HTML5 чтобы убить Флэш». Что ты несешь.
C>Ну да, именно в этом и была цель. C>Чувак, ты упоролся что ли?
Пока что ты упоролся ты. У тебя большие проблемы с восприятием времени и истории.
Реальность: HTML5 начали делать крупные компании в 2004-м (WHATWG). Уже в 2007-м W3C приняли за основу нового стандарта разрабатываемый в WHATWG HTML5. 22 янвааря 2008-го уже была опубликована первая публичная версия HTML5.
Ты пишешь: Крупные компании только начали разрабатывать HTML5 в 2008-м, чтобы убить флэш.
Реальность: Apple отказался от Флэша на мобильных в 2010-м, Адоб прекратил разработку флэша для мобильных в 2012-м, Гугл до конца поддерживал Флэш и даже пытался заставить его работать на устройствах, где даже Адоб официально его не поддерживал. До сих пор Хром поставляется с встроенной версией флэша (для всех остальных браузеров надо отдельно качать плагин).
Ты пишешь: Гугл активно помогал хоронить флэш
Я не собираюсь бороться с тараканами в твоей голове
Здравствуйте, Videoman, Вы писали:
V>Ничего что центры сертификации за деньги выдают ключи кому попало
Этому есть доказательства?
V>главное что теперь любой неугодный сайт может быть помечен как богомерзкий и забанен на уровне браузера на раз-два.
К HTTPS это отношения не имеет.
V>Этап пятый — используя админресурс, не меняя подход к построение современного WEB, объявляем TCP виновником всех тормозов и самым неудачным и медленным протоколом в истории IT. HTTP2 — наше все.
Но HTTP/2 использует TCP. Путаетесь в терминологии?
V>Теперь мы на коне и напрямую влияем на архитектуру и развитие протоколов обмена в интернете. Теперь никому, даже в самом страшном сне, не приснится слезть с Chrome-а и повторить и перепроектировать всю эту сложную инфраструктуру заново.
Не думаю, что там всё такое уж сложное. Куча библиотек реализовала HTTP/2 и реализует HTTP/3. Кроме того любой адекватный сервер скорей всего навсегда будет совместим с HTTP/1.1, поэтому ничего не мешает просто не использовать эти новые протоколы.
V>Этап шестой — все стало настолько безопасно и секьюрно, что остался последний этап. Нужно весь этот "неперехватываемый" (конкурентами) трафик завести через свой датацентр и все станет еще безопасней. Тут не повезло DNS. Поднимаем вой — пользователи в опасности. Срочно всем перейти на DOH. А для тех кто не понял, есть отличные наработки на четвертом и пятом этапах.
Но DNS к трафику отношения не имеет. Как и DOH не имеет отношения к гуглу. Я, например, пользуюсь 1.1.1.1, который поддерживает DOH.
V>Будем и дальше наблюдать за историей борьбы пчел против меда.
Для начала стоило бы попробовать разобраться в происходящем.
Здравствуйте, Videoman, Вы писали:
V>Будем и дальше наблюдать за историей борьбы пчел против меда.
Гугл, конечно, злоупотребляет своим положением фактического монополиста на рынке браузеров, но не настолько
Например, один из первых SPA, google mail, появился задолго до выхода хрома.
Бесплатный dns и всякие vpn-ы — закономерное следсвие удешевления серверов/траффика и удорожания данных о поведении пользователей.
Здравствуйте, vsb, Вы писали:
vsb>Этому есть доказательства?
Блажен тот кто верует
vsb>К HTTPS это отношения не имеет.
Не знаю искоренили ли они проблемы решаемые повсеместным введение HTTPS, где надо и не надо, но вполне безопасные сайты, типа того же RSDN, отображаются как небезопасные. Дальше будет больше.
vsb>Но HTTP/2 использует TCP. Путаетесь в терминологии?
Дело шьете.... ? А идеи положить все это поверх UDP не было?
vsb>Не думаю, что там всё такое уж сложное. Куча библиотек реализовала HTTP/2 и реализует HTTP/3. Кроме того любой адекватный сервер скорей всего навсегда будет совместим с HTTP/1.1, поэтому ничего не мешает просто не использовать эти новые протоколы.
Потому-что не всем это нужно. А уж про дополнительную нагрузку на шифрование я молчу. И что-то обещанного ускорения я не заметил.
vsb>Но DNS к трафику отношения не имеет. Как и DOH не имеет отношения к гуглу. Я, например, пользуюсь 1.1.1.1, который поддерживает DOH.
Какая разница. К JavaScript они тоже не имеют, по вашей логике, отношения. Они просто берут любой подходящий для целей Гугла стандарт и прибивают его гвоздями и административным ресурсом к браузеру который де-факто стал монополистом, уничтожая все альтернативы.
Здравствуйте, RonWilson, Вы писали:
RW>всё нормально собирается без всяких ферм и мегамашин на восьмилетней старости i7 с 32гб, конечно, не как блокнот, но терпимо.
Ну я не серьезно, но исходником там масса, приходилось поработать с ними. На самом деле основной посыл был в том, что такие масштабные проекты выкладываются в опенсорс не для того что бы кто-то что-то менял, а для более быстрого распространения продукта с проникновение во все возможные ниши и завоевания рынка.
Здравствуйте, Videoman, Вы писали:
vsb>>Этому есть доказательства? V>Блажен тот кто верует
Предлагаешь верить тебе? (:
vsb>>К HTTPS это отношения не имеет. V>Не знаю искоренили ли они проблемы решаемые повсеместным введение HTTPS, где надо и не надо, но вполне безопасные сайты, типа того же RSDN, отображаются как небезопасные. Дальше будет больше.
А с чего ты взял, что они безопасные? Опять предлагаешь верить? Я вот точно знаю, что мой провайдер анализирует трафик и может вставлять JavaScript в HTTP-страницы. И ровно так же поступают множество других операторов сети. А ты веришь, что твой провайдер это просто труба, которая с закрытыми глазами кидается пакетами? Вот я не верю. Поэтому HTTP небезопасен. А слать важные данные через HTTP небезопасно вдвойне. И браузер всё правильно делает. При этом никакие сайты никто не блокирует и никогда блокировать не будет.
vsb>>Но HTTP/2 использует TCP. Путаетесь в терминологии? V>Дело шьете.... ? А идеи положить все это поверх UDP не было?
Может и была. И даже реализована в HTTP/3. Но не в HTTP/2.
vsb>>Не думаю, что там всё такое уж сложное. Куча библиотек реализовала HTTP/2 и реализует HTTP/3. Кроме того любой адекватный сервер скорей всего навсегда будет совместим с HTTP/1.1, поэтому ничего не мешает просто не использовать эти новые протоколы. V>Потому-что не всем это нужно.
Ну дык не нужно — не используй. Оно же во все стороны совместимо.
V>А уж про дополнительную нагрузку на шифрование я молчу.
А ты не молчи, ты расскажи, какая там такая нагрузка. Вот та же страница RSDN. Сколько миллисекунд можно сэкономить, отключив шифрование. Я вот протестировал, на очень старом компьютере скорость AES-256 составляет 66 мегабайтов в секунду, т.е. половину гигабита. На современном с аппаратной поддержкой шифрования 286 мегабайтов в секунду или больше двух гигабитов. Т.е. по сути никакой ощутимой нагрузки на типичных скоростях нет.
V>И что-то обещанного ускорения я не заметил.
А тесты замечают.
vsb>>Но DNS к трафику отношения не имеет. Как и DOH не имеет отношения к гуглу. Я, например, пользуюсь 1.1.1.1, который поддерживает DOH. V>Какая разница. К JavaScript они тоже не имеют, по вашей логике, отношения. Они просто берут любой подходящий для целей Гугла стандарт и прибивают его гвоздями и административным ресурсом к браузеру который де-факто стал монополистом, уничтожая все альтернативы.
Что значит прибивают гвоздями, не понимаю. DoH это очень простой стандарт. И ничего он не прибит к браузеру. Просто браузер поддерживает его.
Здравствуйте, vsb, Вы писали:
vsb>Предлагаешь верить тебе? (:
Предлагаю не верить никому.
vsb>А с чего ты взял, что они безопасные? Опять предлагаешь верить? Я вот точно знаю, что мой провайдер анализирует трафик и может вставлять JavaScript в HTTP-страницы. И ровно так же поступают множество других операторов сети. А ты веришь, что твой провайдер это просто труба, которая с закрытыми глазами кидается пакетами? Вот я не верю. Поэтому HTTP небезопасен. А слать важные данные через HTTP небезопасно вдвойне. И браузер всё правильно делает. При этом никакие сайты никто не блокирует и никогда блокировать не будет.
Потому-что это просто информационные ресурсы. Всегда нужно включать голову и не доверять тому что написано в интернете. Тебе будет легче если какой-нибудь информационный сайт будет метать дезу одну за одной, или какой-то сайт с HTTPS снимет деньги с твоей карточки. HTTPS только расслабляет и придает видимость защищенности.
vsb>Ну дык не нужно — не используй. Оно же во все стороны совместимо.
Ну так не получится. В покое тебя не оставят. Вот увидишь, придет день когда браузер просто перестанет открывать сайты на HTTP. Перевел сайт на HTTPS, сразу все становится "секьюрно" — сразу сокеты WSS и т.д. и т.п. Гугл задает тренды и вынуждает всех двигаться в нужном ему направлении. Если ты размещаешь свою информацию в интернете, будь готов что ее всегда могут украсть. HTTPS никак не заставит людей быть острожными, или хотя бы, придумывать пароли отличные от 12345.
vsb>А ты не молчи, ты расскажи, какая там такая нагрузка. Вот та же страница RSDN. Сколько миллисекунд можно сэкономить, отключив шифрование. Я вот протестировал, на очень старом компьютере скорость AES-256 составляет 66 мегабайтов в секунду, т.е. половину гигабита. На современном с аппаратной поддержкой шифрования 286 мегабайтов в секунду или больше двух гигабитов. Т.е. по сути никакой ощутимой нагрузки на типичных скоростях нет.
Я конечно понимаю, что разработчикам железа нужно как-то оправдывать цену все нового и нового железа, но это же прямая аналогия с ростом производительности PC. Все также рассуждали и также тестировали, а когда соберешь все вместе, оказывается что новостной сайтик требует 1Гб оперативки и топового железа.
vsb>А тесты замечают.
А мне, как пользователю, от этого не легче.
vsb>Что значит прибивают гвоздями, не понимаю. DoH это очень простой стандарт. И ничего он не прибит к браузеру. Просто браузер поддерживает его.
Большинство пользователей этого не понимают и не хотят понимать. Большинство людей просто будет использовать настройки по умолчанию и пользоваться браузером номер одни в мире, у которого доля 70%.
Здравствуйте, Videoman, Вы писали:
V> HTTPS никак не заставит людей быть острожными, или хотя бы, придумывать пароли отличные от 12345.
Единственная задача, для которой предназначен HTTPS и которую он решает — это защита от MITM. Ни к осторожности ни к паролям он не имеет отношения. Если новые версии браузера не будут давать заходить на сайты по HTTP или при невозможности установления валидного TLS соединения — это крайне хорошо и правильно.
Здравствуйте, vsb, Вы писали:
vsb>Может и была. И даже реализована в HTTP/3. Но не в HTTP/2.
Это, что ли, хваленый QUIC?
vsb>А ты не молчи, ты расскажи, какая там такая нагрузка. Вот та же страница RSDN. Сколько миллисекунд можно сэкономить, отключив шифрование. Я вот протестировал, на очень старом компьютере скорость AES-256 составляет 66 мегабайтов в секунду, т.е. половину гигабита. На современном с аппаратной поддержкой шифрования 286 мегабайтов в секунду или больше двух гигабитов. Т.е. по сути никакой ощутимой нагрузки на типичных скоростях нет.
Здравствуйте, Videoman, Вы писали:
V>Вот уже несколько лет слежу как Гугл медленно но верно подминает под себя весь децентрализованный интернет:
«Для того, чтобы это сделать, надо всего ничего. Вот маленький трюк, который вам поможет поступить так же»
V>сделаем самый быстрый, самый удобный для пользователей, самый удобный для разработчиков браузер, самый самый самый.... V>Возглавим разработку JS V> Убъем все атернативы Flash, Silverlight, Java, вообще все альтернативы V>пересаживаем всех на тяжелый "безопасный" HTTPS. V>Пересаживаем всех на HTTP2.
Всего-то ничего. (Особенно смешно про убиение Flash'а, ага)
ЗЫ. То, что гугл скатился в говно-монополию, которой на всех наплевать, это да.
Здравствуйте, Pzz, Вы писали:
Pzz> Надо не AES мерить, а RSA handshake.
Но это тоже будет не совсем корректно, т.к. "тяжелым" будет только первый handshake а дальше заработают механизмы TLS-tickets, 0-RTT и т.д. Издержки у HTTPS-everywhere конечно же есть, но величина "ущерба" не более чем от передачи заголовков http/1.x в plain-text, а вот профит можно сказать бесценен
V> Так я же говорю что это было просто. V> Возможно многие пытались, но просто не смогли. V> Если так подумать, а что тут такого:
Действительно просто, что тут такого, если подумать. Просто другие пробовали, но не смогли. Но это просто.
M>>Всего-то ничего. (Особенно смешно про убиение Flash'а, ага)
V>Ну помог им еще один жадный человек, который, кстати, тоже не думал о высоком, а просто стремился пустить все денежные потоки в App Store, ничего личного. Ну а они просто добили, V>случайно, ну бывает.
Гугл поддерживал Flash до самого конца, если что. И в браузере и в Андроиде. И окончательное решение его убить приняли в Adobe, а не в Гугле. А так да, смертный приговор ему вынес Джобс.
Здравствуйте, Videoman, Вы писали:
V>Рынок вообще так устроен, все в конечном счете сведется к монополии (так как в основе уменьшение издержек), не важно Google это или Microsoft или кто-то другой. Но факт в том, что сейчас этот злодей это — Google. То что это было не просто, им им это удалось, не оправдывает того что они делают.
Тут еще такой нюанс, Microsoft в свои самые монопольные годы никогда так не борзел.
Здравствуйте, Mamut, Вы писали:
M>А так да, смертный приговор ему вынес Джобс.
Нет, Джобс только дал им хорошего пинка, а Гугл сразу присоединился к драке. Без публичной поддержки Гугла, это айфон запросто мог стать устаревшей и ненужной технологией, а не флэш.
M>>А так да, смертный приговор ему вынес Джобс. C>Нет, Джобс только дал им хорошего пинка, а Гугл сразу присоединился к драке. Без публичной поддержки Гугла, это айфон запросто мог стать устаревшей и ненужной технологией, а не флэш.
Каким образом «Гугл присоединился к драке» если они поддерживали Флэш до последнего?
Здравствуйте, Ops, Вы писали:
Ops> AB>Единственная задача, для которой предназначен HTTPS и которую он решает — это защита от MITM. Ни к осторожности ни к паролям он не имеет отношения. Ops> Это ты будешь бабушке рассказывать. А гугл (да, да, сам гугл!!!111) говорит, что если у тебя есть https, то сайт безопасен.
Это твои фантазии конечно же: https://support.google.com/chrome/answer/95617. Говорится о безопасном соединении / подключении, но не сайте. Что же касается пользователей, то они и тогда и сейчас не имеют представления о том, что это и с чем это едят, так что они ничего и не заметили в основной своей массе — попаболь только у неосиляторов, тех кто пользовался незащищенностью соединения в корыстных целях и тех, кого бесплатные сертификаты лишили возможности торговать воздухом. Ты из какой категории?
Здравствуйте, Ops, Вы писали:
Ops> Ты не мне объясняй, а бабушке. Какая разница между соединением и сайтом? Она не понимает, у нее в лучшем случае адрес есть, он безопасен?
Бабушке нужно объяснять не разницу между соединением и сайтом, а то, что вводить чувствительные данные в интернете надо крайне осторожно. Какой там транспорт на каких уровнях будет под капотом ее интересовать не должно.
Ops> AB> попаболь только у неосиляторов, тех кто пользовался незащищенностью соединения в корыстных целях и тех, кого бесплатные сертификаты лишили возможности торговать воздухом. Ты из какой категории? Ops> Я из тех, кому не нужно необоснованное увеличение энтропии, вроде шифрование для сайтов-визиток.
Тип сайта не имеет абсолютно никакого значения для решаемой при помощи TLS задачи. Защита от MITM — это не только защита от чтения данных (с которым справляется шифрование), но и защита от их изменения.
Ops> И против тех, кто насаждает правила насильно. Когда это делает государство, это еще можно принять в виде неизбежности, а иногда и спросить с него, но когда этим занимается заокеанская корпорация в своих интересах — нет.
TLS everywhere назрел давно и форсился в той или иной степени практически всеми IT компаниями. Гугл просто большой и по этому заметнее, но он как раз это делал наиболее аккуратно и осторожно (что, к сожалению, сильно всех замедлило).
C>Сбор и слив данных пользователей? Слежка за пользователями? Пользователю не принадлежит ничего, всё на сервере? C>Да, не припоминаю ничего подобного.
В 90-х просто возможностей для такого не было. Ты забываешь, что это сейчас интернет у всех в карманах 24 часа в сутки 7 дней в неделю. Как-то сложно собирать данные о пользователях и держать все на серверах, когда у тебя 14400 бод дайлап.
А когда это стало возможным, МС, например, стал первой компанией, которая присоединилась к PRISM от NSA.
C>>Тут еще такой нюанс, Microsoft в свои самые монопольные годы никогда так не борзел.
M>Это ты плохо помнишь монопольные годы Майкрософта. Просто сейчас борзение моментально влияет на весь мир в целом.
А какие это годы? 1995-2002? Когда он выпустил Win95 и все только о нём и говорили?
По-моему, именно в то время MS была компанией №1 на IT небосклоне.
J>А какие это годы? 1995-2002? Когда он выпустил Win95 и все только о нём и говорили? J>По-моему, именно в то время MS была компанией №1 на IT небосклоне.
Да, примерно так, до примерно начала-середины 2000-х, когда широкополосный интернет начал шагать по планете (и в первую очередь в Штатах). Интернет и все, что из него следовало, они, мягко говоря, профукали полностью, в чем сами и признаются. А потом профукали смартфоны (или, скорее, айфон).
Здравствуйте, Ops, Вы писали:
Ops> AB>Бабушке нужно объяснять не разницу между соединением и сайтом, а то, что вводить чувствительные данные в интернете надо крайне осторожно. Какой там транспорт на каких уровнях будет под капотом ее интересовать не должно. Ops> Но ведь значок, надпись про безопасность, зеленый цвет за каким-то хреном выпятили?
Значок наоборот выпиливают (постепенно делая его менее заметным)
Ops> AB>Тип сайта не имеет абсолютно никакого значения для решаемой при помощи TLS задачи. Защита от MITM — это не только защита от чтения данных (с которым справляется шифрование), но и защита от их изменения. Ops> Вот кывт уже сколько лет отлично живет без всякого обязательного https, и вроде бы от MITM не страдает, хотя другие атаки периодически бывают. А все потому, что для реализации такой атаки одного лишь нешифрованного протокола недостаточно, нужна еще точка, где можно влезть в трафик, а для неуловимого Джо никто ее организовывать не будет.
Это заблуждение уже неоднократно развенчано и степень уловимости Джо здесь вторична. Например, показательна история с beeline. Если покопаешь, найдешь еще множество подобных и не очень (например, про DPI).
Ops> AB>TLS everywhere назрел давно и форсился в той или иной степени практически всеми IT компаниями. Гугл просто большой и по этому заметнее, но он как раз это делал наиболее аккуратно и осторожно (что, к сожалению, сильно всех замедлило). Ops> Что? Это именно гугл, пользуясь монополией на рынке поиска, фактически запретил использовать простой http, снизив ранжирование таких сайтов. Претензии ведь именно к принуждению 3-х лиц.
Это было опять же не совсем так. И гугл вполне себе продолжает индексировать и ранжировать сайты без httpS и даже ставить их на позиции выше сайтов с httpS. Хотя то, что сайты с httpS обычно более качественны, вполне логично и объяснимо.
Здравствуйте, Anton Batenev, Вы писали:
AB>Значок наоборот выпиливают (постепенно делая его менее заметным)
Хороша ложка к обеду. А когда оно зазеленело, как раз всех и пересаживали на https, сейчас-то уже что говорить?
AB>Это заблуждение уже неоднократно развенчано и степень уловимости Джо здесь вторична. Например, показательна история с beeline. Если покопаешь, найдешь еще множество подобных и не очень (например, про DPI).
Ну так и чем закончилась эта история? Выяснилось, что достаточно юридических средств, а не технических. Что же касается DPI, то, если это меня тревожит, то я сам выберу шифрованный транспорт, не надо обо мне насильно заботиться, как о малом ребенке. У вас бремя белого человека какое-то.
AB>Это было опять же не совсем так.
Это лишь один из первых шагов, дальше все стало жестче.
AB>И гугл вполне себе продолжает индексировать и ранжировать сайты без httpS и даже ставить их на позиции выше сайтов с httpS. Хотя то, что сайты с httpS обычно более качественны, вполне логично и объяснимо.
Продолжает. Но при прочих равных делает https выше в результатах, что фактически вынуждает принять гугловские правила игры чтобы не проиграть конкурентам.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
M>>То есть поддерживали до последнего. M>>Codealot: Гугл присоединился и убивал Флэш
C>Поддерживали, но толсто намекнули разработчикам сайтов, что от флэша надо избавляться, а не то.
Каким образом и где Гугл намекнул про это разработчикам?
Еще раз: Гугл вообще приложил ноль усилий к смерти Флэша. Наоборот, они до конца его поддерживали. Вон даже придумали костыли, чтобы заставить его работать там, где он не поддерживался.
Здравствуйте, Ops, Вы писали:
Ops> AB>Значок наоборот выпиливают (постепенно делая его менее заметным) Ops> Хороша ложка к обеду. А когда оно зазеленело, как раз всех и пересаживали на https, сейчас-то уже что говорить?
И это очередной раз неправда. Инициатором выпячивания EV Green Bar были Comodo (как раз торговцы сертификатами).
Ops> AB>Это заблуждение уже неоднократно развенчано и степень уловимости Джо здесь вторична. Например, показательна история с beeline. Если покопаешь, найдешь еще множество подобных и не очень (например, про DPI). Ops> Ну так и чем закончилась эта история? Выяснилось, что достаточно юридических средств, а не технических.
Это история лишь одна из немногих. И TLS пресекает на корню подобные истории без человеческого фактора (который, как известно, крайне ненадежен).
Ops> AB>И гугл вполне себе продолжает индексировать и ранжировать сайты без httpS и даже ставить их на позиции выше сайтов с httpS. Хотя то, что сайты с httpS обычно более качественны, вполне логично и объяснимо. Ops> Продолжает. Но при прочих равных делает https выше в результатах, что фактически вынуждает принять гугловские правила игры чтобы не проиграть конкурентам.
У двух разных сайтов не может быть "прочих равных". Если сайт вкладывается в SEO (не то, которое про закупку ссылок и прочий шлак, а в нормальное), то TLS/IPv6/etc у него уже давно есть и совсем не потому что google использует их как сигнал в ранжировании, а потому что они заботятся о своих пользователях и их UX — логично, что такие сайты ранжируются выше.
M>>А потом профукали смартфоны (или, скорее, айфон). C>Не профукали, а просрали. Windows CE доминировал на рынке, когда никакого айфона и в планах не было.
WindowsCE доминировал ровно на одном рынке: «телефоны для серьезных людей», бизнес-сектор. На пользовательском рынке доминировали Нокии и СониЭрикссоны, у которых максимум была змейка и СМС. Ну и JavaME.
Самое смешное, что когда Гугл решил делать свою ОСь, они решили, по сути, копировать WinCE. Но в 2007-м году случился айфон и, как сами гугловцы говорят, «мы поняли, что надо срочно все переделывать». МС осилили переделать только в 2010-м, три года спустя, а семь лет спустя переделать заново.
M>>А когда это стало возможным, МС, например, стал первой компанией, которая присоединилась к PRISM от NSA.
C>Гугл начал собирать и продавать данные задолго до этого. И ты ничего не ответил по другим пунктам.
Специально процитирую
В 90-х просто возможностей для такого не было. Ты забываешь, что это сейчас интернет у всех в карманах 24 часа в сутки 7 дней в неделю. Как-то сложно собирать данные о пользователях и держать все на серверах, когда у тебя 14400 бод дайлап.
Здравствуйте, Anton Batenev, Вы писали:
AB>И это очередной раз неправда. Инициатором выпячивания EV Green Bar были Comodo (как раз торговцы сертификатами).
Так это Comodo пишут и распространяют хром? А мужики-то не знали!
AB>Это история лишь одна из немногих. И TLS пресекает на корню подобные истории без человеческого фактора (который, как известно, крайне ненадежен).
Не убедил. У провайдера есть еще много возможностей для атаки на клиентов, нет смысла тратить ресурсы только на один вектор, не закрывая другие вообще.
AB>У двух разных сайтов не может быть "прочих равных". Если сайт вкладывается в SEO (не то, которое про закупку ссылок и прочий шлак, а в нормальное), то TLS/IPv6/etc у него уже давно есть и совсем не потому что google использует их как сигнал в ранжировании, а потому что они заботятся о своих пользователях и их UX — логично, что такие сайты ранжируются выше.
Ну а ты попробуй. Сделай 2 идентичных сайта, выложи, а потом сравни позиции.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Mamut, Вы писали:
M>Специально процитирую
Специально уточню для тех, кто в танке: мелко-мягкий присоединился к PRISM в 2007 году, когда 90-ые были давно в прошлом, а Гугл уже вовсю торговал данными пользователей.
Здравствуйте, Mamut, Вы писали:
M>WindowsCE доминировал ровно на одном рынке: «телефоны для серьезных людей», бизнес-сектор. На пользовательском рынке доминировали Нокии и СониЭрикссоны, у которых максимум была змейка и СМС. Ну и JavaME.
А потому что других смартфонов тогда просто не было, на рынок для массового потребителя они только-только начали проникать. И вот в этот самый момент мелкомягкий решил, что WinCE им нафиг не нужен.
Ад пуст, все бесы здесь.
Re[15]: Кажется кто-то что-то начал подозревать...
Здравствуйте, Ops, Вы писали:
Ops> AB>И это очередной раз неправда. Инициатором выпячивания EV Green Bar были Comodo (как раз торговцы сертификатами). Ops> Так это Comodo пишут и распространяют хром? А мужики-то не знали!
Нет, Comodo создали стандарты/рекомендации/рабочие группы. Chrome 1.0 вышел с поддержкой того, что уже поддержали другие браузеры. Ознакомься пожалуйста с историей вопроса по ранее приведенным ссылкам.
Ops> AB>Это история лишь одна из немногих. И TLS пресекает на корню подобные истории без человеческого фактора (который, как известно, крайне ненадежен). Ops> Не убедил. У провайдера есть еще много возможностей для атаки на клиентов, нет смысла тратить ресурсы только на один вектор, не закрывая другие вообще.
Это не имеет никакого значения. Задача у TLS только одна и он прекрасно с ней справляется. Другие риски закрываются другими решениями (DoH/DoT например, или Encrypted SNI).
Ops> AB>У двух разных сайтов не может быть "прочих равных". Если сайт вкладывается в SEO (не то, которое про закупку ссылок и прочий шлак, а в нормальное), то TLS/IPv6/etc у него уже давно есть и совсем не потому что google использует их как сигнал в ранжировании, а потому что они заботятся о своих пользователях и их UX — логично, что такие сайты ранжируются выше. Ops> Ну а ты попробуй. Сделай 2 идентичных сайта, выложи, а потом сравни позиции.
Два идентичных сайта будут склеены в один в силу идентичности.
Здравствуйте, Anton Batenev, Вы писали:
AB>Нет, Comodo создали стандарты/рекомендации/рабочие группы. Chrome 1.0 вышел с поддержкой того, что уже поддержали другие браузеры. Ознакомься пожалуйста с историей вопроса по ранее приведенным ссылкам.
А зачем он вышел с поддержкой этого?
AB>Это не имеет никакого значения. Задача у TLS только одна и он прекрасно с ней справляется. Другие риски закрываются другими решениями (DoH/DoT например, или Encrypted SNI).
Зато задача у гугла другая. Повесить проблемы пользователей с провайдерами на 3-х лиц — владельцев сайтов. Мне нет никакого дела, если недобросовестный провайдер внедряет в мои страницы свой код, это проблемы пользователя и провайдера, и они успешно их решают без моего участия. А вот гуглу это важно, потому как он не хочет, чтобы кто-то кроме него мог трекать пользователей.
AB>Два идентичных сайта будут склеены в один в силу идентичности.
И на какой же из вариантов будет указывать ссылка из гугла?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Re[17]: Кажется кто-то что-то начал подозревать...
Здравствуйте, Ops, Вы писали:
Ops> AB>Нет, Comodo создали стандарты/рекомендации/рабочие группы. Chrome 1.0 вышел с поддержкой того, что уже поддержали другие браузеры. Ознакомься пожалуйста с историей вопроса по ранее приведенным ссылкам. Ops> А зачем он вышел с поддержкой этого?
Потому что имеющиеся стандарты принято поддерживать.
Ops> Зато задача у гугла другая. Повесить проблемы пользователей с провайдерами на 3-х лиц — владельцев сайтов.
Очевидно нет у него такой задачи.
Ops> Мне нет никакого дела, если недобросовестный провайдер внедряет в мои страницы свой код, это проблемы пользователя и провайдера, и они успешно их решают без моего участия. А вот гуглу это важно, потому как он не хочет, чтобы кто-то кроме него мог трекать пользователей.
Как я и писал ранее — от внедрения защиты от MITM страдают дармоеды-продавцы сертификатов, сайтостроители-неосиляторы и те, кто зарабатывал на прослушивании/подмене пользовательского трафика. Первых двух абсолютно не жалко (веб без них станет только чище и доступнее), последних надо без компромиссов жечь каленым железом до полного уничтожения за нарушение privacy.
Ops> AB>Два идентичных сайта будут склеены в один в силу идентичности. Ops> И на какой же из вариантов будет указывать ссылка из гугла?
Зависит от алгоритма склейки. Вполне возможно, кого первого проиндексируют, тот и главный. У rsdn например часть склеено с http, часть с https.
Здравствуйте, Ops, Вы писали:
Ops>Мне нет никакого дела, если недобросовестный провайдер внедряет в мои страницы свой код, это проблемы пользователя и провайдера, и они успешно их решают без моего участия. А вот гуглу это важно, потому как он не хочет, чтобы кто-то кроме него мог трекать пользователей.
Действительно странно, почему же гугл ставит твой сайт ниже конкурентов :-D
Здравствуйте, Mamut, Вы писали:
M>Apple в 2010-м: Флэша на айфоне не будет
Айфон вышел в 2007-м.
В 2008-м, крупные компании (включая Гугл) объединились для разработки HTML 5, который с самого начала позиционировался как замена флэшу.
M>Гугл в 2015-м: блин, надо приложить все усилия, чтобы все же заставить флэш работать там, где для него нет никакой поддержки
Не "заставить флэш работать", а дать инструмент для упрощения миграции с флэша.
M>codealot в 2019-м: Гугл присоединился к Эпплу и делал все, чтобы убить флэш!
Очевидцы тех событий заявляют, что руководство Гугла спало и видел флэш в гробу еще до выхода айфона.
C>Айфон вышел в 2007-м. C>В 2008-м, крупные компании (включая Гугл) объединились для разработки HTML 5, который с самого начала позиционировался как замена флэшу.
В 2008-м уже вышла первая версия стандарта. Работа над новым стандартом велась с 2004 года. И этим занимались те самые «крупные компании, включая Гугл». Но да, но да. «Объединились для работы над HTML5 чтобы убить Флэш». Что ты несешь.
M>>Гугл в 2015-м: блин, надо приложить все усилия, чтобы все же заставить флэш работать там, где для него нет никакой поддержки C>Не "заставить флэш работать", а дать инструмент для упрощения миграции с флэша.
Ага-ага. В 2010-м Эппл сказал, что Флэша не будет на айфонах. В 2012-м Адоб сказал, что флэша не будет на Андроидах. В 2015-м Гугл предпринимает попытку:
main goal was to display Flash contents on devices that do not support Flash, such as iPhone, iPad, and Android Tablets.
То есть хоть как-то продливает жизнь Флэшу на мобильных устройствах (к тому моменту Флэша на них нет уже больше трех лет).
codealot: Гугл сволочи активно убивали Флэш!!1
M>>codealot в 2019-м: Гугл присоединился к Эпплу и делал все, чтобы убить флэш! C>Очевидцы тех событий заявляют, что руководство Гугла спало и видел флэш в гробу еще до выхода айфона.
Что он там спало и где оно там видело, факт остается фактом: Гугл не прилагал активных действий по уничтожению Флэша. Все действия Гугла были исключительно реакцией на действия других компаний.
Здравствуйте, Mamut, Вы писали:
M>В 2008-м уже вышла первая версия стандарта. Работа над новым стандартом велась с 2004 года. И этим занимались те самые «крупные компании, включая Гугл». Но да, но да. «Объединились для работы над HTML5 чтобы убить Флэш». Что ты несешь.
Ну да, именно в этом и была цель.
Чувак, ты упоролся что ли?
Здравствуйте, Mamut, Вы писали:
M>Ты пишешь: Крупные компании только начали разрабатывать HTML5 в 2008-м, чтобы убить флэш.
Ну а если начали в 2004, то, естественно, не для того, чтобы убить флэш? 4 года разницы сразу меняют цель проекта? Але, гараж?
M>Реальность: Apple отказался от Флэша на мобильных в 2010-м, Адоб прекратил разработку флэша для мобильных в 2012-м, Гугл до конца поддерживал Флэш и даже пытался заставить его работать на устройствах, где даже Адоб официально его не поддерживал. До сих пор Хром поставляется с встроенной версией флэша (для всех остальных браузеров надо отдельно качать плагин).
Гугл делал это для себя, а не для поддержки флэша.
Разработчики Google не тратили время напрасно. Для пущей безопасности, теперь мы все с вами будем смотреть самую проверенную и самую защищенную рекламу от Google. Останется выпилить оставшийся "небезопасный" API из браузера и блокировщики рекламы, как класс, останутся в сером прошлом, а мы с вами станем еще на шаг ближе к светлому будущему.
Начиная с Chrome версии 80, релиз которого намечен на январь 2020-го, страницы со смешанным контентом будут по умолчанию отмечены, как небезопасные. Позже браузер будет пытаться автоматически обновить содержимое страниц до HTTPS-версий, а если не получится — просто заблокирует их. Ожидается, что такая функциональность появится в Chrome 81, который выйдет в феврале 2020 года.
V>Начиная с Chrome версии 80, релиз которого намечен на январь 2020-го, страницы со смешанным контентом будут по умолчанию отмечены, как небезопасные. Позже браузер будет пытаться автоматически обновить содержимое страниц до HTTPS-версий, а если не получится — просто заблокирует их. Ожидается, что такая функциональность появится в Chrome 81, который выйдет в феврале 2020 года.
Здравствуйте, Videoman, Вы писали:
V> Позже браузер будет пытаться автоматически обновить содержимое страниц до HTTPS-версий, а если не получится — просто заблокирует их. Ожидается, что такая функциональность появится в Chrome 81, который выйдет в феврале 2020 года.
