Вообще говоря, урезонить старые клиенты в части использования безопасных соединений можно и не запрещая их полностью.
Что для этого требуется? Как минимум, удалять их личные флаги TLS. В этом случае сами они не смогут реализовать инициированные ими безопасные соединения, но зато будут отвечать на обычные. Как максимум, уже самому хабу нужно будет рассылать разные MyINFO для старых и новых клиентов, дабы старые, в свою очередь, не видели TLS флагов новых и, соответственно, не планировали соединяться с ними безопасно.
Тут же возникает задача другого рода: если NMDCs хаб может отследить версию TLS только для клиентов, подключённых к нему через TLS прокси, то как отличать условно новые клиенты от условно старых? Ну как – по спискам... Забавно, но в далёком 2008 году основанный на регулярных выражениях проект идентификации DC клиентов уже существовал, назывался AML, но после какой-то размолвки между разработчиками был безжалостно выпилен автором и остался разве что в кэшах специализированных операторских клиентов энтузиастов... Э-эх!
Что в итоге? В итоге на отдельно взятом NMDCs хабе задача отделения зёрен от плевел решаема, но на уровне всей сети – увы, нет.
Польза – в психологическом давлении, причём массовом.
То есть сидишь ты такой на своём с трудом урватом рабочем месте, а на тебя через витрину смотрит вечное объявление о найме людей на очень ответственно занимаемую тобой должность.
Что до местного государства, оно заинтересовано только в демонстрации (и воспроизводстве) лояльности, не более.
Свои серийные колюще-режущие изделия они отдают на сертификацию, и на этом их проблемы заканчиваются.
Ну а при большом желании и достаточно толстом кошельке заказчика вполне могут и холодняк типа меча или шашки изготовить, но это при выходе из кузни уже будет проблема заказчика.
Охотничьи же ножи, которые ХО по характеристикам, ЕМНИП при покупке сразу вписывают в охотничий билет.
Пока нет уголовной ответственности за потерю/слив/кражу/несанкционированное использование персональных данных, доверять свою биометрию кому бы то ни было это полная профанация.
У меня был случай, когда для прохода в магазин для покупки лампочек (!) охранник требовал предъявить паспорт с целью переписать с него данные. В большооой такой гроссбух. Что дальше с оными данными будет – неизвестно. Может, на помойку выкинут, а может, и чего похлеще придумают.
Во-первых, представления о прекрасном это не плохо – если они реально есть, конечно. Конкретно свой кейс в рамках файлообменной сети я описал выше. Но извините, он и родился потому, что некто Дэлион полез в исходники популярных DC клиентов и обнаружил, что там не то что с приоритезацией, но и с доступными шифрами не всё гладко.
Во-вторых, ну вот сейчас я копнул, как это делается в Firefox, и, внезапно, оказывается, чтобы отключить шифронаборы конкретно для всё того же TLS 1.3, их нужно сначала задать. Кстати, задал, спасибо за идею)
То есть фактически мы приходим к тому, что вышеупомянутой версии TLS под капот если и лезть, то именно что с представлениями о прекрасном.
Аналогично и у нас в DC весь сыр бор начался из-за того, что ни один клиент не умел определять наличие аппаратной поддержки AES, а в списках шифров стояло неизвестно что.
По итогу у себя на сервере я оставил только AES-128 и ChaCha-Poly (AES-256 избыточен), а дальше клиент сам определится.
Ну тогда уж обои́х сторон...
Тоже подумал, что Наставник != Работодатель, а Соискатель != Работник.
Вообще говоря, урезонить старые клиенты в части использования безопасных соединений можно и не запрещая их полностью.
Что для этого требуется? Как минимум, удалять их личные флаги TLS. В этом случае сами они не смогут реализовать инициированные ими безопасные соединения, но зато будут отвечать на обычные. Как максимум, уже самому хабу нужно будет рассылать разные MyINFO для старых и новых клиентов, дабы старые, в свою очередь, не видели TLS флагов новых и, соответственно, не планировали соединяться с ними безопасно.
Тут же возникает задача другого рода: если NMDCs хаб может отследить версию TLS только для клиентов, подключённых к нему через TLS прокси, то как отличать условно новые клиенты от условно старых? Ну как – по спискам... Забавно, но в далёком 2008 году основанный на регулярных выражениях проект идентификации DC клиентов уже существовал, назывался AML, но после какой-то размолвки между разработчиками был безжалостно выпилен автором и остался разве что в кэшах специализированных операторских клиентов энтузиастов... Э-эх!
Что в итоге? В итоге на отдельно взятом NMDCs хабе задача отделения зёрен от плевел решаема, но на уровне всей сети – увы, нет.
Плюс за статью)
Да. Подобные высказывания ну очень уж похожи на логику "вакцины придуманы чтобы убивать людей". Нехорошо!
У работодателей нашей гордой, но несуществующей Республики таки есть ответ на Ваш вопрос!
Польза – в психологическом давлении, причём массовом.
То есть сидишь ты такой на своём с трудом урватом рабочем месте, а на тебя через витрину смотрит вечное объявление о найме людей на очень ответственно занимаемую тобой должность.
Что до местного государства, оно заинтересовано только в демонстрации (и воспроизводстве) лояльности, не более.
То не баг, то фича!
Да нет, отчего же, лично знаком с некоторыми.
Свои серийные колюще-режущие изделия они отдают на сертификацию, и на этом их проблемы заканчиваются.
Ну а при большом желании и достаточно толстом кошельке заказчика вполне могут и холодняк типа меча или шашки изготовить, но это при выходе из кузни уже будет проблема заказчика.
Охотничьи же ножи, которые ХО по характеристикам, ЕМНИП при покупке сразу вписывают в охотничий билет.
Пока нет уголовной ответственности за потерю/слив/кражу/несанкционированное использование персональных данных, доверять свою биометрию кому бы то ни было это полная профанация.
У меня был случай, когда для прохода в магазин для покупки лампочек (!) охранник требовал предъявить паспорт с целью переписать с него данные. В большооой такой гроссбух. Что дальше с оными данными будет – неизвестно. Может, на помойку выкинут, а может, и чего похлеще придумают.
Да нет, как раз непонятно. Его же взяли на границе при попытке пересечения, а не за "залез" или "выложил" или, тем паче, "собрался".
Да буквально. Вон у Ютуба о прекрасном всё же своё представление.
Ну... Предпочтения моего браузера сервер вполне себе учёл.
А вот то, что я задал их самостоятельно – это, конечно, несколько другая история.
Хорошая шутка)
Так это... у Андрея МШ, похоже, появится интересный собеседник...
Он в Лефортово уже год, а за что – хз.
По-моему, всё несколько сложнее (или проще?).
Во-первых, представления о прекрасном это не плохо – если они реально есть, конечно. Конкретно свой кейс в рамках файлообменной сети я описал выше. Но извините, он и родился потому, что некто Дэлион полез в исходники популярных DC клиентов и обнаружил, что там не то что с приоритезацией, но и с доступными шифрами не всё гладко.
Во-вторых, ну вот сейчас я копнул, как это делается в Firefox, и, внезапно, оказывается, чтобы отключить шифронаборы конкретно для всё того же TLS 1.3, их нужно сначала задать. Кстати, задал, спасибо за идею)
То есть фактически мы приходим к тому, что вышеупомянутой версии TLS под капот если и лезть, то именно что с представлениями о прекрасном.
Строго говоря, сферическому в вакууме пользователю это не нужно; у сервера есть администратор, а у клиента разработчик.
Так-то иногда достаточно правки строки доступных шифронаборов, чтобы не создавать ненужную нагрузку.
Аналогично и у нас в DC весь сыр бор начался из-за того, что ни один клиент не умел определять наличие аппаратной поддержки AES, а в списках шифров стояло неизвестно что.
По итогу у себя на сервере я оставил только AES-128 и ChaCha-Poly (AES-256 избыточен), а дальше клиент сам определится.
Ну и в чём был сакральный смысл такого анонса?
Записи вебинара на форуме тоже – нет; да и вообще, читать его с такой гигантской шапкой проблематично.
Несерьёзно, ребят.
И в Direct Connect...
Всё это хорошо, но пока нет никакой связи между кармой и рейтингом статьи\комментария, она (карма) так и будет инструментом выяснения отношений.