1.1.1.1 — на CloudFlare, дальше он может пойти тем же протоколом, это ничему не мешает, но скорее всего пойдёт обычным DNS или DNSSec.
В основном, эта защита именно от манипуляций со стороны провайдера.
А то, что в DoH перформанс просто никакой относительно обычного DNS почему не упомянуто? Т.е. вместо одного UDP-запроса и ответа надо поднять TCP (3-4 пакета), установить SSL (ещё 3 пакета? не помню уже), обернуть весь запрос в http, увеличив payload, с той стороны распарсить и вернуть.
А если DoH-сервер решит идти к вышестоящим по DoH… Явно направление неверное.
DoT всё-же чуть легче, но тоже в целом, тяжеловат, а проблемы с тем, что используется отдельный порт мне не кажутся проблемами, если не видно, что происходит внутри. Любой компьютер посылает DNS-запросы, это не является проблемой и экзотикой. Будет просто посылать через другой порт. А вот если компьютер не посылает запросы, но при этом ходит в интернет, это уже подозрительная личность.
Когда-то я писал свой туннель на базе UDP и столкнулся с замечательной штукой как фрагментирование UDP пакетов, которое клало сервера на обе лопатки при попытке их собрать. А это мне ещё повезло, пакеты могли просто теряться. Значит надо устроить MTU Discovery, причём для надёжности для каждого (!) сайта или гонять мелкие пакеты.
При этом, в TCP есть замечательная опция MSS, которую декларируют обе стороны, но роутер в середине может уменьшить, чтобы избавиться от фрагментации (что, кстати, все всегда делают). С UDP это не прокатит, а с QUIC тем более, что приведёт к проблемам, по сравнению с которыми задержки в TCP казались бы мелочью.
Опять же, в TCP есть куча алгоритмов, связанных с размером окна, а т.к. нам в целом всё равно нужны все пакеты и в правильном порядке, надо их заново реализовывать и лечить те же грабли, на которые уже все наступили в TCP.
В теории да, но когда требуются разные версии ruby или разные версии bundler'а — нифига не помогает.
Честно скажу, я плохо знаю руби, но проблемы с версионированием там какие-то уж очень жестокие на мой взгляд.
Соглашусь с beduin01 эта проблема, что вы описали как раз и вылезает из-за того, что существующая система версионирования обычно весьма корявая, и лезет проблема dll hell, которую и решили таким «элегантным» образом. Как бы я не любил в ноде ужас с папкой node_modules, из-за того что все зависимости и лежат в этой папке, вы можете на сервере держать кучу абсолютно разных приложений на ноде, и не знать проблем. В dotnetcore тоже очень хорошо сделали версионирование и докер вроде бы не нужен.
При этом, когда я сталкиваюсь с каким-нить ruby, я понимаю, что тут Docker был просто спасением.
Так что всё зависит от средств разработки и их возможностей. Где-то нафиг не нужен докер, где-то без него не обойтись. И мне больше нравится первый вариант, тогда докер всего-лишь приятное дополнение и удобство деплоя и оркестрации. Но, можно и без него.
Наверняка так и сделают — скрытую настройку, запрятанную глубоко, но т.к. раз есть настройка, то её можно и включить, это затянет проблему и её решение.
Простой абстрактный пример из головы: предположим, TLS1.0 взломали полностью, с потрохами. Вы коннектитесь к сайту и ради поддержки старых протоколов и браузер и сервер поддерживают TLS1.0, человек по середине, перехватывает запросы и понижает уровень безопасности до TLS1.0, всё, приехали.
А для древних вещей всегда же можно использовать специально выделенные виртуалки, древние версии браузеров, и прочие костыли. Плохо — да, очень. Но современный мир такой.
Берёте Mikrotik map lite, роутер питается от micro usb, размером с коробок спичек. Поднимаете на нём WiFi сеть, после этого с телефона по Tik App или компьютера по WinBox сканируете устройства, поднимаете вторую точку доступа, ей пишете нужный мак и делаете ретрансляцию. После первой настройки — дел на 2 минуты.
Теперь можно без содрагания сердца нажимать на F12 и он не упадёт? Респект, я несколько месяцев ждал эту фичу, тихо матерясь, когда всё в очередной раз падало.
Device Toolbar чинить/реализовывать планируете?
Поздравляю, вы изобрели png :)
На самом деле, конечно же нет, не будут, за исключением, может быть, вырожденных случаев.
ZIP это достаточно тупая штука, использующая LZ77, и накрывающая сверху Хаффманом. LZ77 умеет хорошо сжимать только хорошо повторяющиеся последовательности, т.е. для этого лучше всех подходит заливка одним цветом, а подобное и jpeg идеально делает.
Что самое интересное, новый скайп на электроне, а электрон на хроме. Т.е. фактически Microsoft в своём продукте тупо использует продукт конкурента, несмотря на свой мегабраузер эдж.
Как я понимаю, тут проблема больше актуальна для виртуалок в облаках. Т.е. нам дают инструмент вида: «несмотря на то, что виртуалка в облаке, и вы её не контролируете, её данные могут быть защищены от всех с помощью данной технологии». И тут находят дыру такого вида, что соседняя с вами виртуалка, грязными способами может узнать эти ваши данные, которые никто не должен видеть (ну, или владелец хост-машины). Что бьёт как раз по облачным провайдерам.
При этом, если у вас сервер находится в собственном датацентре, с ограниченным доступом и только доверенным вашим кодом, то все эти патчи даже вредны, т.к. снижают производительность.
Тут будущее время, а уже всё работает. Плохо, мало мест, но иногда полезно (например, вспомнить название печенюшек, которые купил в другом городе, чтобы поискать их у нас), или что брал в кафешке и за какие деньги.
Кассиры в трамваях принимают любые деньги. В терминалах на остановках не помню, но вроде бы тоже кешем можно. Был не прав, по ссылке написано, что изменили правила.
Стало не очень понятнее, почему Марья дала Андрею полотнище, используемое для головного убора.
В основном, эта защита именно от манипуляций со стороны провайдера.
А если DoH-сервер решит идти к вышестоящим по DoH… Явно направление неверное.
DoT всё-же чуть легче, но тоже в целом, тяжеловат, а проблемы с тем, что используется отдельный порт мне не кажутся проблемами, если не видно, что происходит внутри. Любой компьютер посылает DNS-запросы, это не является проблемой и экзотикой. Будет просто посылать через другой порт. А вот если компьютер не посылает запросы, но при этом ходит в интернет, это уже подозрительная личность.
При этом, в TCP есть замечательная опция MSS, которую декларируют обе стороны, но роутер в середине может уменьшить, чтобы избавиться от фрагментации (что, кстати, все всегда делают). С UDP это не прокатит, а с QUIC тем более, что приведёт к проблемам, по сравнению с которыми задержки в TCP казались бы мелочью.
Опять же, в TCP есть куча алгоритмов, связанных с размером окна, а т.к. нам в целом всё равно нужны все пакеты и в правильном порядке, надо их заново реализовывать и лечить те же грабли, на которые уже все наступили в TCP.
Честно скажу, я плохо знаю руби, но проблемы с версионированием там какие-то уж очень жестокие на мой взгляд.
При этом, когда я сталкиваюсь с каким-нить ruby, я понимаю, что тут Docker был просто спасением.
Так что всё зависит от средств разработки и их возможностей. Где-то нафиг не нужен докер, где-то без него не обойтись. И мне больше нравится первый вариант, тогда докер всего-лишь приятное дополнение и удобство деплоя и оркестрации. Но, можно и без него.
Простой абстрактный пример из головы: предположим, TLS1.0 взломали полностью, с потрохами. Вы коннектитесь к сайту и ради поддержки старых протоколов и браузер и сервер поддерживают TLS1.0, человек по середине, перехватывает запросы и понижает уровень безопасности до TLS1.0, всё, приехали.
А для древних вещей всегда же можно использовать специально выделенные виртуалки, древние версии браузеров, и прочие костыли. Плохо — да, очень. Но современный мир такой.
Посмотрите на bash.im, там ровно так и сделано. Но это удобно только для блогоподобных сайтов, где не подразумевается сортировка и фильтрация.
Device Toolbar чинить/реализовывать планируете?
На самом деле, конечно же нет, не будут, за исключением, может быть, вырожденных случаев.
ZIP это достаточно тупая штука, использующая LZ77, и накрывающая сверху Хаффманом. LZ77 умеет хорошо сжимать только хорошо повторяющиеся последовательности, т.е. для этого лучше всех подходит заливка одним цветом, а подобное и jpeg идеально делает.
При этом, если у вас сервер находится в собственном датацентре, с ограниченным доступом и только доверенным вашим кодом, то все эти патчи даже вредны, т.к. снижают производительность.
Кассиры в трамваях принимают любые деньги. В терминалах на остановках не помню, но вроде бы тоже кешем можно.Был не прав, по ссылке написано, что изменили правила.