bash-скриптами и правда лучше не обходиться, bash это интерактивный шелл для линукса (в других *nix — обычно не баш), а скрипты на нём писать это либо только для своего личного использования, либо плохой тон. Особенно если скрипт с расширением .sh как у вас, а внутри #!/bin/bash
И к тому же, мало кто пишет Makefile'ы вручную.
А вот это очень плохо и портит первоначальную идею make — утилиты которая по человекопонятным описаниям сделает всё что нужно, то что скриптом было бы сложно и нечитабельно. Если уж генерировать Makefile то можно сразу шелл-скрипт генерировать — и то и то уже нечитабельно. Все эти autotools/cmake и им подобное — гадость.
А теперь хотя бы есть понимание, зачем я делаю мейк каждый раз, когда ставлю очередной питон или постгрес, например.
Но понимание, на самом деле, весьма поверхностное. Неужели все так просто — обновить объектные файлы и слинковать их воедино?
При установке — скорее всего незачем, там могла быть и обычная простыня из вызовов gcc одного за другим — ведь исходники никто после компиляции менять и перекомпилировать не собирается а скорее всего вообще удалят. А вот для модели "обновить исходники через VCS — перекомпилировать то что изменилось — поставить", так сказать инкрементальные апдейты версий (которую почти никто не использует) было бы полезно. Ну и разработчикам конечно крайне полезно после мелкой правки не ждать полчаса пересборку всего.
Не надо показывать утопичность через подмену понятий. Вы сначала "незаметно" (возможно, что и для себя самого) сменили тезис с "сделать коллективное управление везде" на "сделать коллективное управление в отдельно взятой фирме" и затем критикуете второе. Так второе никто и не предлагал в данной беседе. Это исключительно ваша собственная идея и вы её сами раскритиковали.
Если даже после этого непонятно (ну вдруг), то поясню ещё подробнее, в чём отличие. В вашем примере (на отдельной фирме) вы сталкиваетесь с проблемой: частные компании, вероятно, будут эффективнее такой коллективной и она из-за конкуренции не сможет получать прибыль. В оригинальном предложении от Sabubu этой проблемы не возникнет, она там сразу решена: частные компании запрещены и таким образом никому своей конкуренцией не помешают.
И ещё раз на всякий случай напомню, что спорю я сейчас только с некорректной вашей аргументацией, а будет ли предложенное хорошо или плохо в целом — ответить затрудняюсь.
Не буду вступать в спор по существу (не знаю ответа), но отмечу, что вы подменили понятия и отвечаете не на исходные тезисы.
Исходные тезисы заключались не в том, чтобы дать коллективу компанию, а в том, чтобы запретить все альтернативные способы управления (т.е. отнять компании у ВСЕХ частных собственников и не давать им открывать новые, в том числе для того чтобы они не мешали нормальным, в понимании автора тезиса, компаниям своими конкуренциями). Очевидно, если кто-то создаст одну компанию и отдаст её коллективу — это никак не повлияет на всех остальных, которые продолжат управляться не коллективом.
В целом данная подмена понятий очень распространена, когда на предложение что-то запретить предлагают "не пользуйся сам". Запретить то хотели не себе лично, а в первую очередь как раз остальным, тем кто добровольно это мнение не разделяет. Более того, часто запретить "только себе" и показать остальным пример для начала практически невозможно — и как раз этот пример с компаниями тут в тему: очевидно, управляемая коллективом и добросовестная компания, по крайней мере на первых порах, будет конкурентно проигрывать управляемой бизнесменом и недобросовестной (если вторую не запретить законодательно), в итоге с большой вероятностью обанкротится и покажет только отрицательный пример.
На месте фильтровальщиков я бы заблаговременно выпустил рекомендацию отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе. (на всякий случай: я прекрасно понимаю что это не спасёт от обхода блокировок теми кто умеет) Возможно они так и сделали уже, если не идиоты.
А вообще писал уже тут где-то и напишу ещё раз: то что на одном айпи-адресе может быть много доменов — это не инструмент приватности, а инструмент экономии айпи-адресов сервером. Не надо пытаться его использовать нецелевым образом.
Rampages у меня лимит на комменты в сутки, отвечу в этом
То что SNI позволяет экономить айти адреса и на один айпи вешать кучу ssl сертификатов понятно.
Я даже не про SNI а про HTTP Host заголовок. Без него было бы однозначное соответствие ip = домен и никакого SNI без него тоже бы не случилось. Эта штука была сделана исключительно для экономии адресов, и при её разработке никому и в голову не приходило как-то скрывать домен — ведь это не по сути не полезная нагрузка запроса, а только уточнение к айпи-адресу, который указан в каждом ip-пакете. И когда делали SNI — это понимали, домен это не то, что может понадобится скрывать при выставенном напоказ айпи. А если надо скрыть айпи то используются уже шифрующие прокси, которые скроют и его и домен. А вот потом у кого-то случился бардак в голове и придумали эту глупость под названием eSNI, которая никаким боком в суть исходной философии не укладывается. А влияет оно сильно только на сайты, расположенные у околомонопольных структур которые это всё и продвигают.
Ну и вроде как encrypted не равно «отсутствие читаемого».
Равно "отсутствие читаемого" + "присутствие нечитаемого". Хотя шифрование там хуже чем основной контент, да.
Ну ладно, может ответил и на несвязанные комментарии (хотя и не вижу до сих пор почему это так). Но поскольку тема всё равно нашлась то отвечу дальше:
В базу там, по ходу пьесы, результаты сбрасывать, проверять что-нибудь на соответствие с остальной бизнес-логикой, то се. Чтобы все эти проверки переписать на чем-нибудь низкоуровневом, Деннису Ричи года три потребуется.
Это всё делается грамотно организованным апи библиотеки. Возможно, с пхп-коллбеками для тех вещей которые прям такие кастомные что в ней никак не реализовать.
Но в большинстве случаев все эти задачи на самом деле вполне типовые и решаются внутри библиотеки.
Заниматься низкоуровневыми оптимизациями на скриптовом языке это какое-то глупое занятие по-моему.
Первое что нужно делать когда нужна производительность — выбрать подходящий язык, что даст сразу много пользы (иногда производительность в десятки раз), а дальше уже заниматься оптимизациями если того что получилось всё ещё не хватает.
То есть библиотеки для скриптовых языков лучше писать на C.
Используй мемы/стикеры/гифки для передачи емких мыслей (согласен/сомневаюсь/восхищен). Они создают позитивное якорение у собеседника
Лично у меня данные штуки в лучшем случае игнорятся, а в худшем создают впечатление что я общаюсь с идиотом у которого плохо с речью. Ну и сами по себе воспринимаются не иначе как визуальный спам.
Единственные графические выражения эмоций которые могут (при адекватном применении) восприниматься нормально это смайлики (маленькие! размером с пару букв).
Там не обязательно линейная функция (kx+b) и даже не обязательно функция одной переменной (x) и с двумя параметрами (k, b). Вобщем-то всё делается относительно легко для функции многих переменных с кучей параметров, главное чтобы точек было не меньше чем параметров.
Но вот в статье что-то совсем сложно, а ещё по-моему она не для программистов а для математиков (они сходу поймут её математическую суть и будут рады примерам кода, которые можно просто взять и использовать, для программистов надо было наоборот). Если бы было желание потратить на неё час, возможно понял бы о чём в ней речь, а так, увы, не осилил. Может позже посмотрю.
у FF те же самые эксперименты на хомячках под капотом.
Конкретно касательно экспериментов не был в курсе, но сделал так: посмотрел все адреса куда он лезет без открывания страниц (или с открыванием но явно незапрошенным образом) и порезал их в локальной проксе. Для того чтобы он не пытался использовать всякие синхронизации, safebrowsing'и итд. Думаю после этого никакие удалённые инструкции он принять не сможет тоже.
VPN "изнутри" выглядит как сетевой интерфейс (виртуальный)
Снаружи он может выглядеть как угодно, хоть протоколом под ethernet (как VLAN'ы в цисках итд) хоть протоколом over HTTPS.
Да, там может не быть ip-адресов но какие-то адреса там быть должны. Так как TCP/IP наиболее популярен сейчас то обычно это именно ip-адреса. Если адресов нет то это просто p2p-туннель (так как адрес получателя указать нельзя то кроме p2p ничего не остается) а не сеть.
но никак не локальная.
Не знаю как это было не понятно, но на всякий случай напишу: слово "локальная" это не перевод названия, а описание сути данного явления.
Расскажите пожалуйста как из одного туннеля получается много выходов?
Расскажите что этому мешает лучше. Туннель это что-то, изнутри выглядящее однородно и пригодно для нужной полезной нагрузки, а снаружи может быть чем угодно, адаптированным к имеющимся каналам связи. Такой слой абстракции. Бывают дополнительно нагружены авторизациями и/или шифрованием.
Proxy сервер может быть кэширующим, может манипулировать с запросами и ответами. Это почти что транзитом?
Может, да. Но речь шла про более простые варианты которые проксируют именно tcp-соединения побайтово, например socks4 socks5 или https в режиме CONNECT. Тем же самым занимаются и большинство так называемых "VPN" для домохозяек.
VPN это и есть туннель, только с множеством выходов из него, потому как равноправных участников локалки обычно больше двух. Впрочем обходчикам блокировок это не нужно, они используют только два выхода — один свой, второй к гейту в инет.
Это не локальная, а частная
Это возражение только показывает отсутствие понимания сути с вашей стороны. "Частная" это машинный перевод слова "private", прижившийся со временем. В качестве устоявшегося термина он используется, а вот возражать с его помощью касательно смысла — глупость. В оригинале это слово означало отсутствие посторонних участников (приватная было бы лучшим переводом, или, возможно, изолированная). Достигается, с одной стороны, шифрованием (посторонние не смогут подсмотреть или вмешаться в траффик), а с другой, на логическом уровне — изоляцией ip-адресов (т.е. это локалка со своим диапазоном адресов, которые не маршрутизируются наружу по умолчанию). Локалка естественно не в географическом смысле а в сетевом.
Советую почитать habr.com/ru/post/354408
Хоть ссылка и не конкретно про впн, а про её применение в датацентрах — но по ней находится как раз подтверждение моих слов.
клиент получает виртуальную сеть между своими офисами, филиалами (в действительности, трафик клиента идет через активное оборудование провайдера, что ограничивает скорость)
Поэтому, стык локальной сети клиента с сетью провайдера
У клиента оборудование в разных датацентрах, но клиент хочет чтобы на сетевом уровне это была одна локальная сеть. Для этого и делают VPN.
Где же я по себе оценивал других людей?
Штука, через которую трафик идёт почти что транзитом к нужному сайту в интернете, называется прокси-сервером.
VPN это виртуальная локальная сеть, и наличие из неё даже просто выхода в интернет — не гарантировано и не является её первичным функционалом. Первичный её функционал — безопасное p2p соединение между участниками этой самой локалки.
Те домохозяйки, которые используют VPN в качестве технологии работы прокси-сервера (а для обхода блокировок используется именно это), будут объяснять принцип работы прокси-сервера (возможно — шифрующего), а вовсе не VPN. А поскольку вы об этом объяснении уже положительно отозвались, то, вероятно, сами его же и поддерживаете.
По поводу фаерволов — по-моему наилучшим способом будет ставить винду исключительно за гейтом с нормальной системой, на котором уже настроен основной функционал сетевой защиты (ну понятно, фильтры по конкретному виндовому бинарнику так не сделать, но остальное вроде можно).
RDP желательно пускать только через туннель с предварительной авторизацией, т.к. в нём время от времени находятся pre-auth дыры, да и вообще он слишком сложно-устроенный чтобы доверять его механизмам безопасности.
Заодно можно логировать сеансы всех подключений извне (хотя бы ip и время).
даже домохозяйки сейчас могут сносно объяснить что такое VPN.
Вижу обратную ситуацию. Даже казалось бы относительно грамотные люди зачастую путают понятия VPN и прокси-сервер (подозреваю что и вы из их числа), а то и вовсе думают, что VPN — это такая программа для обхода блокировок.
А еще есть интересный случай, который вроде как не про торговлю людьми, но, если смотреть сообщения СМИ, выглядит именно как торговля людьми в чистом виде. Я про куплю-продажу спортсменов клубами (футбол, хоккей и т.п.).
А что это такое тогда? По-моему торговля людьми и есть. Ну, продаётся там не весь человек а только его трудовая деятельность, но вобщем-то и от рабов нужна была именно она в первую очередь. Да, тут есть смягчающее обстоятельство: такие спортсмены обычно богатые и при желании могут послать всех этих торговцев и пойти отдыхать, нигде не работая.
Независимая телекоммуникационная среда Medium: как сообщество разрабатывает «Интернет 2.0»
Какая наивность. Ну неужели неясно? Тут всего три варианта:
1) государство официально разрешает
2) государство запрещает но на неуловимого джо ему пофиг, вне зависимости от технических методов реализации
3) государство запрещает и при необходимости вводит новый закон о регулировании либо запрете этого медиума
Если хотите чтобы этим пользовалось полпроцента гиков то вам подойдёт второй вариант и незачем придумывать новое оборудование — достаточно протокола поверх обычного инета с высоким порогом вхождения.
Если хотите массовости то только первый и надо влиять на законы.
Это всё не призыв к каким-либо действиям, а только анализ ситуации.
Но с ростом нагрузки опять встанет вопрос с нехваткой производительности. Дальше либо наращиваем мощность сервера(-ов) фильтрации, либо оптимизируем софт.
Ну от этого никуда не деться, но в случае с отдельной железкой мы оптимизируем именно функцию фильтрации в ней (а уж софт это или железо — не всегда есть чёткая граница, в хороших железках есть спец. чипы для обработки пакетов без участия обычного проца и кстати никакой код в ядре ОС их не догонит по эффективности) и не думаем о том, как всё это отразится на остальном, потому что остальным эта железка не занимается. А на серверах приложений — оптимизируем выполнение юзерспейса и не думаем о фильтрациях (шлём фильтр-железке управляющие команды перенастройки фильтров если нало на лету это делать). По-моему это намного удобнее чем поддерживать комбайн который умеет всё.
вероятность встретить такую железку у хостера, где вы держите свои сервера не очень высока
Ну речь же не про домашнюю страницу на пхп на шаред хостинге. А чем больше нагрузка (и соответственно цена услуг) тем больше вероятность что у хостера по вашему заказу найдётся всё что вам требуется. А хоститься у тех кто даже крупному клиенту не может предложить индивидуальные условия я бы не стал с крупным проектом.
те же cisco уже давно на Linux
Не знал. Ну, видимо, финансовый аспект перекрывает всё остальное и воспользоваться не совсем подходящим решением но почти бесплатно — выгоднее чем делать подходящее, но вкладываясь.
Уязвимость найдена в конфигурации nginx, где проброс в PHP-FPM осуществляется c разделением частей URL при помощи fastcgi_split_path_info и определением переменной окружения PATH_INFO, но без предпроверки существования файла директивой try_files $fastcgi_script_name или конструкцией if
Иными словами, уязвимость найдена в давно deprecated фичах родом из апача и 10+ лет назад, которые поддерживаются современным софтом только для совместимости с древними пхп-скриптами.
bash-скриптами и правда лучше не обходиться, bash это интерактивный шелл для линукса (в других *nix — обычно не баш), а скрипты на нём писать это либо только для своего личного использования, либо плохой тон. Особенно если скрипт с расширением .sh как у вас, а внутри #!/bin/bash
А вот это очень плохо и портит первоначальную идею make — утилиты которая по человекопонятным описаниям сделает всё что нужно, то что скриптом было бы сложно и нечитабельно. Если уж генерировать Makefile то можно сразу шелл-скрипт генерировать — и то и то уже нечитабельно. Все эти autotools/cmake и им подобное — гадость.
x67
При установке — скорее всего незачем, там могла быть и обычная простыня из вызовов gcc одного за другим — ведь исходники никто после компиляции менять и перекомпилировать не собирается а скорее всего вообще удалят. А вот для модели "обновить исходники через VCS — перекомпилировать то что изменилось — поставить", так сказать инкрементальные апдейты версий (которую почти никто не использует) было бы полезно. Ну и разработчикам конечно крайне полезно после мелкой правки не ждать полчаса пересборку всего.
Не надо показывать утопичность через подмену понятий. Вы сначала "незаметно" (возможно, что и для себя самого) сменили тезис с "сделать коллективное управление везде" на "сделать коллективное управление в отдельно взятой фирме" и затем критикуете второе. Так второе никто и не предлагал в данной беседе. Это исключительно ваша собственная идея и вы её сами раскритиковали.
Если даже после этого непонятно (ну вдруг), то поясню ещё подробнее, в чём отличие. В вашем примере (на отдельной фирме) вы сталкиваетесь с проблемой: частные компании, вероятно, будут эффективнее такой коллективной и она из-за конкуренции не сможет получать прибыль. В оригинальном предложении от Sabubu этой проблемы не возникнет, она там сразу решена: частные компании запрещены и таким образом никому своей конкуренцией не помешают.
И ещё раз на всякий случай напомню, что спорю я сейчас только с некорректной вашей аргументацией, а будет ли предложенное хорошо или плохо в целом — ответить затрудняюсь.
Не буду вступать в спор по существу (не знаю ответа), но отмечу, что вы подменили понятия и отвечаете не на исходные тезисы.
Исходные тезисы заключались не в том, чтобы дать коллективу компанию, а в том, чтобы запретить все альтернативные способы управления (т.е. отнять компании у ВСЕХ частных собственников и не давать им открывать новые, в том числе для того чтобы они не мешали нормальным, в понимании автора тезиса, компаниям своими конкуренциями). Очевидно, если кто-то создаст одну компанию и отдаст её коллективу — это никак не повлияет на всех остальных, которые продолжат управляться не коллективом.
В целом данная подмена понятий очень распространена, когда на предложение что-то запретить предлагают "не пользуйся сам". Запретить то хотели не себе лично, а в первую очередь как раз остальным, тем кто добровольно это мнение не разделяет. Более того, часто запретить "только себе" и показать остальным пример для начала практически невозможно — и как раз этот пример с компаниями тут в тему: очевидно, управляемая коллективом и добросовестная компания, по крайней мере на первых порах, будет конкурентно проигрывать управляемой бизнесменом и недобросовестной (если вторую не запретить законодательно), в итоге с большой вероятностью обанкротится и покажет только отрицательный пример.
На месте фильтровальщиков я бы заблаговременно выпустил рекомендацию отсутствие читаемого SNI считать эквивалентным SNI с самым плохим из доменов на этом айпи-адресе. (на всякий случай: я прекрасно понимаю что это не спасёт от обхода блокировок теми кто умеет) Возможно они так и сделали уже, если не идиоты.
А вообще писал уже тут где-то и напишу ещё раз: то что на одном айпи-адресе может быть много доменов — это не инструмент приватности, а инструмент экономии айпи-адресов сервером. Не надо пытаться его использовать нецелевым образом.
Rampages у меня лимит на комменты в сутки, отвечу в этом
Я даже не про SNI а про HTTP Host заголовок. Без него было бы однозначное соответствие ip = домен и никакого SNI без него тоже бы не случилось. Эта штука была сделана исключительно для экономии адресов, и при её разработке никому и в голову не приходило как-то скрывать домен — ведь это не по сути не полезная нагрузка запроса, а только уточнение к айпи-адресу, который указан в каждом ip-пакете. И когда делали SNI — это понимали, домен это не то, что может понадобится скрывать при выставенном напоказ айпи. А если надо скрыть айпи то используются уже шифрующие прокси, которые скроют и его и домен. А вот потом у кого-то случился бардак в голове и придумали эту глупость под названием eSNI, которая никаким боком в суть исходной философии не укладывается. А влияет оно сильно только на сайты, расположенные у околомонопольных структур которые это всё и продвигают.
Равно "отсутствие читаемого" + "присутствие нечитаемого". Хотя шифрование там хуже чем основной контент, да.
Ну ладно, может ответил и на несвязанные комментарии (хотя и не вижу до сих пор почему это так). Но поскольку тема всё равно нашлась то отвечу дальше:
Это всё делается грамотно организованным апи библиотеки. Возможно, с пхп-коллбеками для тех вещей которые прям такие кастомные что в ней никак не реализовать.
Но в большинстве случаев все эти задачи на самом деле вполне типовые и решаются внутри библиотеки.
Заниматься низкоуровневыми оптимизациями на скриптовом языке это какое-то глупое занятие по-моему.
Первое что нужно делать когда нужна производительность — выбрать подходящий язык, что даст сразу много пользы (иногда производительность в десятки раз), а дальше уже заниматься оптимизациями если того что получилось всё ещё не хватает.
То есть библиотеки для скриптовых языков лучше писать на C.
Лично у меня данные штуки в лучшем случае игнорятся, а в худшем создают впечатление что я общаюсь с идиотом у которого плохо с речью. Ну и сами по себе воспринимаются не иначе как визуальный спам.
Единственные графические выражения эмоций которые могут (при адекватном применении) восприниматься нормально это смайлики (маленькие! размером с пару букв).
Надеюсь ваш план провалится.
Или ркн не осилит ipv6 и запретит его на всякий случай.
Там не обязательно линейная функция (kx+b) и даже не обязательно функция одной переменной (x) и с двумя параметрами (k, b). Вобщем-то всё делается относительно легко для функции многих переменных с кучей параметров, главное чтобы точек было не меньше чем параметров.
Но вот в статье что-то совсем сложно, а ещё по-моему она не для программистов а для математиков (они сходу поймут её математическую суть и будут рады примерам кода, которые можно просто взять и использовать, для программистов надо было наоборот). Если бы было желание потратить на неё час, возможно понял бы о чём в ней речь, а так, увы, не осилил. Может позже посмотрю.
(не туда ответил, то было kdmitrii )
Конкретно касательно экспериментов не был в курсе, но сделал так: посмотрел все адреса куда он лезет без открывания страниц (или с открыванием но явно незапрошенным образом) и порезал их в локальной проксе. Для того чтобы он не пытался использовать всякие синхронизации, safebrowsing'и итд. Думаю после этого никакие удалённые инструкции он принять не сможет тоже.
Так им и надо, тем кто от этого пострадал.
Запрещать надо было гуглософт а не нормальные (по сравнению с хромом) браузеры.
jamepock
На данный момент из популярных это только firefox. Хотя к сожалению они постепенно перенимают всякие гадости из хрома.
VPN "изнутри" выглядит как сетевой интерфейс (виртуальный)
Снаружи он может выглядеть как угодно, хоть протоколом под ethernet (как VLAN'ы в цисках итд) хоть протоколом over HTTPS.
Да, там может не быть ip-адресов но какие-то адреса там быть должны. Так как TCP/IP наиболее популярен сейчас то обычно это именно ip-адреса. Если адресов нет то это просто p2p-туннель (так как адрес получателя указать нельзя то кроме p2p ничего не остается) а не сеть.
Не знаю как это было не понятно, но на всякий случай напишу: слово "локальная" это не перевод названия, а описание сути данного явления.
Расскажите что этому мешает лучше. Туннель это что-то, изнутри выглядящее однородно и пригодно для нужной полезной нагрузки, а снаружи может быть чем угодно, адаптированным к имеющимся каналам связи. Такой слой абстракции. Бывают дополнительно нагружены авторизациями и/или шифрованием.
Может, да. Но речь шла про более простые варианты которые проксируют именно tcp-соединения побайтово, например socks4 socks5 или https в режиме CONNECT. Тем же самым занимаются и большинство так называемых "VPN" для домохозяек.
Прежде чем возражать, сами бы почитали что-нить.
Не нет, а да.
VPN это и есть туннель, только с множеством выходов из него, потому как равноправных участников локалки обычно больше двух. Впрочем обходчикам блокировок это не нужно, они используют только два выхода — один свой, второй к гейту в инет.
Это возражение только показывает отсутствие понимания сути с вашей стороны. "Частная" это машинный перевод слова "private", прижившийся со временем. В качестве устоявшегося термина он используется, а вот возражать с его помощью касательно смысла — глупость. В оригинале это слово означало отсутствие посторонних участников (приватная было бы лучшим переводом, или, возможно, изолированная). Достигается, с одной стороны, шифрованием (посторонние не смогут подсмотреть или вмешаться в траффик), а с другой, на логическом уровне — изоляцией ip-адресов (т.е. это локалка со своим диапазоном адресов, которые не маршрутизируются наружу по умолчанию). Локалка естественно не в географическом смысле а в сетевом.
Хоть ссылка и не конкретно про впн, а про её применение в датацентрах — но по ней находится как раз подтверждение моих слов.
У клиента оборудование в разных датацентрах, но клиент хочет чтобы на сетевом уровне это была одна локальная сеть. Для этого и делают VPN.
Штука, через которую трафик идёт почти что транзитом к нужному сайту в интернете, называется прокси-сервером.
VPN это виртуальная локальная сеть, и наличие из неё даже просто выхода в интернет — не гарантировано и не является её первичным функционалом. Первичный её функционал — безопасное p2p соединение между участниками этой самой локалки.
Те домохозяйки, которые используют VPN в качестве технологии работы прокси-сервера (а для обхода блокировок используется именно это), будут объяснять принцип работы прокси-сервера (возможно — шифрующего), а вовсе не VPN. А поскольку вы об этом объяснении уже положительно отозвались, то, вероятно, сами его же и поддерживаете.
По поводу фаерволов — по-моему наилучшим способом будет ставить винду исключительно за гейтом с нормальной системой, на котором уже настроен основной функционал сетевой защиты (ну понятно, фильтры по конкретному виндовому бинарнику так не сделать, но остальное вроде можно).
RDP желательно пускать только через туннель с предварительной авторизацией, т.к. в нём время от времени находятся pre-auth дыры, да и вообще он слишком сложно-устроенный чтобы доверять его механизмам безопасности.
Заодно можно логировать сеансы всех подключений извне (хотя бы ip и время).
Вижу обратную ситуацию. Даже казалось бы относительно грамотные люди зачастую путают понятия VPN и прокси-сервер (подозреваю что и вы из их числа), а то и вовсе думают, что VPN — это такая программа для обхода блокировок.
А что это такое тогда? По-моему торговля людьми и есть. Ну, продаётся там не весь человек а только его трудовая деятельность, но вобщем-то и от рабов нужна была именно она в первую очередь. Да, тут есть смягчающее обстоятельство: такие спортсмены обычно богатые и при желании могут послать всех этих торговцев и пойти отдыхать, нигде не работая.
Какая наивность. Ну неужели неясно? Тут всего три варианта:
1) государство официально разрешает
2) государство запрещает но на неуловимого джо ему пофиг, вне зависимости от технических методов реализации
3) государство запрещает и при необходимости вводит новый закон о регулировании либо запрете этого медиума
Если хотите чтобы этим пользовалось полпроцента гиков то вам подойдёт второй вариант и незачем придумывать новое оборудование — достаточно протокола поверх обычного инета с высоким порогом вхождения.
Если хотите массовости то только первый и надо влиять на законы.
Это всё не призыв к каким-либо действиям, а только анализ ситуации.
Ну от этого никуда не деться, но в случае с отдельной железкой мы оптимизируем именно функцию фильтрации в ней (а уж софт это или железо — не всегда есть чёткая граница, в хороших железках есть спец. чипы для обработки пакетов без участия обычного проца и кстати никакой код в ядре ОС их не догонит по эффективности) и не думаем о том, как всё это отразится на остальном, потому что остальным эта железка не занимается. А на серверах приложений — оптимизируем выполнение юзерспейса и не думаем о фильтрациях (шлём фильтр-железке управляющие команды перенастройки фильтров если нало на лету это делать). По-моему это намного удобнее чем поддерживать комбайн который умеет всё.
Ну речь же не про домашнюю страницу на пхп на шаред хостинге. А чем больше нагрузка (и соответственно цена услуг) тем больше вероятность что у хостера по вашему заказу найдётся всё что вам требуется. А хоститься у тех кто даже крупному клиенту не может предложить индивидуальные условия я бы не стал с крупным проектом.
Не знал. Ну, видимо, финансовый аспект перекрывает всё остальное и воспользоваться не совсем подходящим решением но почти бесплатно — выгоднее чем делать подходящее, но вкладываясь.
Иными словами, уязвимость найдена в давно deprecated фичах родом из апача и 10+ лет назад, которые поддерживаются современным софтом только для совместимости с древними пхп-скриптами.