Я писал на перле последний раз лет 15 назад всякое достаточно активно по работе, и если там налягать на контекстные переменные и всё такое - становится читать потом свой же код даже сильно сложно.
Так что это чисто моё впечатление.
Шаблоны в плюсах это страшно тоже, да.
В Расте дженерики аналогично регулярно приводят к типам, которые мне в экран не влазят.
В режиме Must-Staple нагрузка на их резолвер становится почти никакой.
OCSP Staple валидно, насколько я помню, в течении нескольких дней, так что в худшем случае на один сертификат будет перезапрашивать его пару раз в день.
И никакой блокировки для клиентов в итоге - вся проверка идёт локально.
Но быстро отозвать сертификат тоже не получится, хотя в случае с CRL то же самое - они тоже кешируются.
Каждый запрос в OCSP содержит сертификат (и, соответственно, по сути, имя домена в большинстве случаев) хоста, куда клиент подключается. И с какого адреса.
А в остальном-то технология отличная, спору нет, лучше этих непонятных списков. Могли бы оставить её в режиме только Must-Staple.
Да, постфактум, но лучше чем ничего. А какие лучше варианты есть с Domain Validation?
Сейчас вот перейдут на TLS-сертификаты без информации о способе проверки статуса
Это о чём речь? Отключение OCSP Stapling? Так Certificate Revocation Lists никуда не уходят вроде бы. Да, проверка CRL во всяких Embedded системах скорее всего никакая, но OCSP Stapling там тем более никогда не было скорее всего.
Ну, от этого в децентрализованной системе никуда не денешься - всегда будут какие-то маргинальные CA, которые чего-то не поддерживают.
В идеале нужно настраивать мониторинг сертификата своего хоста снаружи: проверку что он выдан правильным CA, что занесён в Certificate Transparency Log и так далее.
Из них почти никого в РФ уже нет... ABBYY, Acronis, Clickhouse, Telegram точно. Касперыч ушёл под крыло ФСБ судя по всему
Может быть. Но я писал на десятке разных языков наверное, и такая проблема была только с Перлом :)
Я на нём (ну, на
mod_perl) писал всякие веб-бекенды несколько лет (давно уже правда). Так что да, видел.Я писал на перле последний раз лет 15 назад всякое достаточно активно по работе, и если там налягать на контекстные переменные и всё такое - становится читать потом свой же код даже сильно сложно.
Так что это чисто моё впечатление.
Шаблоны в плюсах это страшно тоже, да.
В Расте дженерики аналогично регулярно приводят к типам, которые мне в экран не влазят.
Perl он, как и его регулярки, часто нечитаем) Write Once, Read Never
`UPDATE table SET STR(counter = (CAST counter AS INT) + 1) WHERE ...`
А их почти нигде нет кроме ФААНГов и за ними повторяющих.
У нас в конторе макс позиция не-менеджерская это Staff Software Engineer L6, во всех других где раньше работал и этого не было.
DANE это тоже, по сути, управление ключами. Просто доверенный ключ переносится из Trusted Root конкретного клиента в DNS запись хоста.
Он ещё и прошлое)) Я помню как лет 15+ назад начинал игры с дронами с него, когда он ещё был ArduCopter/APM или как-то так, на ардуине работающий.
И до сих пор там такая куча легаси, Mission Planner по-моему за это время нифига не изменился внешне :)
Смех смехом, но есть даже системы, которые под звёздам ориентируются. Правда точность там, по-моему, от 4км :)
Да, большинство софта поддерживает модули Optical Flow. Но там высота должна быть достаточно небольшая (до 10-15 метров) чтобы оно работало.
Скорее всего да, я не особо знаком с казахскими законами. Может быть там как-то можно легализоваться.
В те же США многие из Мексики приходят нелегально и вполне себе живут десятилетиями (пока Трамп какой-нибудь не начнёт чистки).
Да плевать они хотели. "Правительство на другой планете живёт, родной" (ц)
Наверное что её можно достаточно легко перейти не привлекая внимания санитаров :)
Ну вы ведь не думаете что реальная причина в блокировке всяких Russia Today?
В режиме Must-Staple нагрузка на их резолвер становится почти никакой.
OCSP Staple валидно, насколько я помню, в течении нескольких дней, так что в худшем случае на один сертификат будет перезапрашивать его пару раз в день.
И никакой блокировки для клиентов в итоге - вся проверка идёт локально.
Но быстро отозвать сертификат тоже не получится, хотя в случае с CRL то же самое - они тоже кешируются.
Ну, для шестидневных сертификатов, может, и действительно нет особенного смысла в CRL.
Но тут, конечно, как всегда вопрос баланса безопасности и сложности...
Они убрали OCSP по одной простой причине - оно убивает приватность.
Каждый запрос в OCSP содержит сертификат (и, соответственно, по сути, имя домена в большинстве случаев) хоста, куда клиент подключается. И с какого адреса.
А в остальном-то технология отличная, спору нет, лучше этих непонятных списков. Могли бы оставить её в режиме только Must-Staple.
Да, постфактум, но лучше чем ничего. А какие лучше варианты есть с Domain Validation?
Это о чём речь? Отключение OCSP Stapling? Так Certificate Revocation Lists никуда не уходят вроде бы. Да, проверка CRL во всяких Embedded системах скорее всего никакая, но OCSP Stapling там тем более никогда не было скорее всего.
Ну, от этого в децентрализованной системе никуда не денешься - всегда будут какие-то маргинальные CA, которые чего-то не поддерживают.
В идеале нужно настраивать мониторинг сертификата своего хоста снаружи: проверку что он выдан правильным CA, что занесён в Certificate Transparency Log и так далее.