И никто не вливает молодого вина в мехи ветхие; а иначе молодое вино прорвет мехи, и само вытечет, и мехи пропадут; но молодое вино должно вливать в мехи новые; тогда сбережется и то и другое. Лк. 5:37,38
В апреле этого года администрация крупнейшего в мире DC хаба объявила о начале поддержки безопасных соединений. Давайте посмотрим, что из этого вышло.
Translate to English
Свобода совести
Поскольку всё, что я думал по этому поводу, уже было высказано ранее, этой части статьи вовсе не должно было быть.
Мафия
Во-первых, безопасные соединения «клиент-клиент», как правило, устанавливаются независимо от наличия шифрования «клиент-хаб».
Во-вторых, невозможно визуально определить хаб, который транслирует или не транслирует запросы на безопасные соединения. Verlihub это делает, PtokaX нет, модифицированная PtokaX – да.
В-третьих, на сегодняшний день практически во всех DC клиентах шифрование соединений включено по умолчанию.
Запомнили? А теперь давайте проверим настройки TLS на стороне пользователя, подключимся к хабу и аккуратно попробуем соединять клиенты друг с другом.
NMDCs хаб
DC++ категорически отказывается от безопасных соединений на NMDC хабах, однако вполне одобряет обычные. Причину разработчики озвучивали не раз: нечего, мол, ходить по старым граблям, ходите по новым!
StrongDC++ умеет только TLS 1.0, и более-менее современные клиенты с ним не соединяются вовсе.
С GreylinkDC++ всё ещё хуже.
FlylinkDC++ охотно падает в режим совместимости. Надолго ли это и нужно ли вообще?.. Спойлер: ненадолго.
EiskaltDC++ делает то же самое менее охотно, лишь на свою потребу.
ADC хаб(ы)
Всё ровно то же самое, но DC++ активно включается в игру. Шифрование трафика для него возможно только на ADC хабах.
EiskaltDC++, похоже, не делает разницы между NMDC и ADC хабами, строг к обоим. Хорошо это или плохо – решать Вам.
Проблема со StrongDC++ сотоварищи сохраняется.
Так. А если отфильтровать устаревшие клиенты, установив на вход обязательное требование поддержки TLS 1.2 как минимум?..
ADCs хаб(ы)
Комментарии, полагаю, излишни.
Выводы
В силу множества исторических и политических причин, использование NMDCs хабов в качестве базы для безопасных межклиентских соединений затруднено или вовсе невозможно. Используя NMDCs хаб, Вы с гарантией теряете возможность соединяться с частью пользователей, а взамен получаете безопасность – но без гарантий.
Рекомендации
Начните разворачивать и использовать ADC хабы, хотя бы и авансом. Откажитесь от устаревших клиентов и, если Вы владелец DC хаба, запретите у себя Стронг и Грей и Shareaza заодно. Ибо
Всякое царство, разделившееся само в себе, опустеет; и всякий город или дом, разделившийся сам в себе, не устоит. Мф. 12:25
Бонус
В апреле этого года администрация крупнейшего в мире DC хаба объявила о начале поддержки безопасных соединений. Давайте посмотрим, что из этого вышло.
Translate to English
Свобода совести
Поскольку всё, что я думал по этому поводу, уже было высказано ранее, этой части статьи вовсе не должно было быть.
Если нужна безопасность, выбирайте современный клиент и ADCs хаб. Точка.Но что, если всё же использовать NMDC хаб, сиречь, обычный? В этом случае придётся столкнуться с несовместимостью старых, очень старых, новых или просто ненастроенных DC клиентов. Но – это было сделано, и проблемы не заставили себя ждать.
Мафия
Во-первых, безопасные соединения «клиент-клиент», как правило, устанавливаются независимо от наличия шифрования «клиент-хаб».
Во-вторых, невозможно визуально определить хаб, который транслирует или не транслирует запросы на безопасные соединения. Verlihub это делает, PtokaX нет, модифицированная PtokaX – да.
В-третьих, на сегодняшний день практически во всех DC клиентах шифрование соединений включено по умолчанию.
Запомнили? А теперь давайте проверим настройки TLS на стороне пользователя, подключимся к хабу и аккуратно попробуем соединять клиенты друг с другом.
NMDCs хаб
DC++ категорически отказывается от безопасных соединений на NMDC хабах, однако вполне одобряет обычные. Причину разработчики озвучивали не раз: нечего, мол, ходить по старым граблям
StrongDC++ умеет только TLS 1.0, и более-менее современные клиенты с ним не соединяются вовсе.
С GreylinkDC++ всё ещё хуже.
FlylinkDC++ охотно падает в режим совместимости. Надолго ли это и нужно ли вообще?.. Спойлер: ненадолго.
EiskaltDC++ делает то же самое менее охотно, лишь на свою потребу.
Обновление от 24.10.2019
ADC хаб(ы)
Всё ровно то же самое, но DC++ активно включается в игру. Шифрование трафика для него возможно только на ADC хабах.
EiskaltDC++, похоже, не делает разницы между NMDC и ADC хабами, строг к обоим. Хорошо это или плохо – решать Вам.
Проблема со StrongDC++ сотоварищи сохраняется.
Обновление от 24.10.2019
Так. А если отфильтровать устаревшие клиенты, установив на вход обязательное требование поддержки TLS 1.2 как минимум?..
ADCs хаб(ы)
Комментарии, полагаю, излишни.
Выводы
В силу множества исторических и политических причин, использование NMDCs хабов в качестве базы для безопасных межклиентских соединений затруднено или вовсе невозможно. Используя NMDCs хаб, Вы с гарантией теряете возможность соединяться с частью пользователей, а взамен получаете безопасность – но без гарантий.
Рекомендации
Начните разворачивать и использовать ADC хабы, хотя бы и авансом. Откажитесь от устаревших клиентов и, если Вы владелец DC хаба, запретите у себя Стронг и Грей
Всякое царство, разделившееся само в себе, опустеет; и всякий город или дом, разделившийся сам в себе, не устоит. Мф. 12:25
Бонус
