А почему вы считаете что можно забить на PFS и пользоваться legacy схемой когда перехват/кража ключа позволяет расшифровать ВЕСЬ собранный до этого трафик?
Это приемлемо во славу стабильного релиза?
Одно из. Тут напрашивается картинка про конкурирующие стандарты. Вы просто сделали "свое". И при этом не решили никакой проблемы. Потому ваш результат заслуживает порицания.
В статье описывается метод, прибитый гвоздями к устаревшей версии. С тем же успехом вы могли бы написать библиотеку, прибитую гвоздями к python 2.7 и при этом имеющуюся в версии 3.
Вы бы тоже утверждали что писали осознанно под 2.7 и явно ограничили это в статье, а критика подобного это "вне контекста"?
Нет, милейший, вы решили выложить свои наработки в открытый доступ и даже написали статью. "Выйти и поговорить" это другой формат, будьте готовы пояснить за свое решение публично
Вы ничего не обосновали. Все ваши доводы из разряда "потому что могу". Сравнения версий не проводилось, объективных аргументов в пользу выбора версии не приводилось. Только ваши фантазии и страхи.
Вы пытаетесь опровергнуть то чего я не говорил.
Вы ПОДТАЛКИВАЕТЕ пользователей к использованию менее безопасного протокола. И это даже еще хуже чем если бы вы что-то утверждали. Потому что в таком случае можно было бы оспорить или опровергнуть утверждения. А тут вы просто даете инструмент, который заведомо deprecated и еще вдобавок РЕАЛЬНО снижает безопасность решения вцелом. Но при этом он позиционируется как "то что избавит вас от боли".
Осознанно или по незнанию, но вы сделали ужасную вещь.
Хватит мыслить как школьник и фапать на циферки.
Посмотрите к чему это привело. Я уже высказывался выше.
1) Дублирование функциональности
2) Навязывание пользователем устаревшего и менее безопасного протокола.
В вашем случае это не "использование проверенного решения и адаптация", а
1) Дублирование уже имеющейся, работающей и протестированной функциональности.
2) Подталкивание пользователей к использованию менее надёжного механизма аутентификации.
И все это сознательно, исключительно на поводу у собственных предрассудков, раз вы в курсе про существование версии 1.1.
Или вы не разобрались и не изучили работу механизма инвайтов и распространения ключей без непосредственного их добавления, на основании доверия к промежуточным нодам?
Просто бегло по верхам прочитали мануал, нашли фатальные недостатки и пошли писать?
Это очень однобокое оправдание.
Не напомните сколько раз за этот год выходили патчи стабильной openssl?
Как же так, ведь это проверенное решение?
Tinc 1.0 по части механизмов аутентификации именно фундаментально уступает 1.1.
Потому мое сравнение с пыльной полкой и кактусом как раз кстати, я не просто так это написал.
В использовании RC нет ничего плохого. OpenWrt (как пример) последние стабильные релизы выпускали на основе ветки wireless-testing или backports в статусе RC.
Ubuntu уже много лет тащит пакеты из debian testing и experimental. Так что про риски и прочие это не более чем притянутые за уши аргументы.
Завтра случится очередной heartbleed и что, это повод не использовать новые "непроверенные" версии opensssl и сидеть на 1.0 ?
LibreOffice регулярно релизятся, а потом дают отмашку о том с какой минорной версии по их мнению "можно в продакшен".
Так что я вам рекомендую перестать фиксироваться на цифрах и смотреть больше на стабильность API. В этом плане Tinc 1.1 давно созрел.
А вот чтобы говорить об ограничениях, нестабильности или недостаточной готовности той или иной версии, требуется как минимум изучить примеры использования других людей, а ещё лучше приложиться самому и тоже протестировать. В таком случае это будет предметный разговор.
А сидеть на стуле и рассуждать "ну, они что-то не релизят и я опасаюсь" — это, пардон, балобольство.
Изменение циферки в версии это не причина того на сколько ПО стабильно, а следствие.
Грубо говоря, вы сосредоточились на версии 1.0 в которой применяется устаревший тип аутентификации и отсутствует поддержка
эллиптики.
А так же отказались от механизма инвайтов который делает ровно то же самое что и ваш сервис.
То есть, фактически, вы взяли с пыльной полки кактус и героически его съели.
Это я к тому что в версии 1.1 именно для данных целей был внедрён механизм инвайтов, а для деплоймента ключей остальных участников достаточно доверия к "boot" ноде.
То есть, это все решается просто использованием версии 1.1 с необходимыми параметрами в конфигурации.
Зачем в 2019 использовать устаревшую версию и героически пытаться пеиеизобрести то что уже сделано и работает?
Я понимаю, что вендоры любят кормить всех вкусными сладкими прогнозами, рассказывать о том как космические корабли бороздят Большой театр, а так же называть маркетинговые максимумы технологий, умалчивая об их применимости в реальной жизни. Дак вот, реальная жизнь горькая и это нужно учитывать.
802.11n зашёл на рынок десять лет назад, 802.11ac пять лет назад. И при этом 802.11n пока более чем актуален Плюс, пользователи стали реже менять свои мобильные устройства, об этом говорит статистика последних лет.
Значит ближайшие 5 лет точно никаких улучшений от Wi-Fi 6 можно не ждать. Все будет упираться в обратную совместимость. И только ближе к 2030 году мы повсеместно (а не в отдельно взятых сетях) увидим реальный профит от OFDMA.
Вся надежда на 60Ггц который не был освоен и там нет бремени обратной совместимости.
То есть, 802.11ad и 802.11ay
В рамках механизма 802.11r (Fast BSS transition) клиент получает список ближайших AP, на которые ему стоило бы переподключиться — и уже дальше сумасбродное устройство решает, что для него лучше.
802.11k/v по моему опыту больше востребованы и лучше поддерживаются.
802.11r нормальный только на айфонах реализован, да и то использует его полтора землекопа.
Я бы выворачивал руки таким заказчикам в плане «11b опция поддерживается, показала свою несостоятельность на этапе тестовой эксплуатации и была выключена». Как-то так.
Большинство 2.4 Ггц модулей поддерживают режим 11b, так как эту часть из стандарта никто не убирал, она все еще актуальна. Вот только, поддержка на уровне устройства и активация режима совместимости — это две разные вещи. Иногда заказчикам приходится такое дополнительно пояснять =)
Близмики мы считаем все что 10м и меньше. В некоторых случаях мы разносили устрйоства на 5 метров. Спектральная маска 802.11n не позволяет нормально сосуществовать в таких условиях набору 1-5-9-13. Несколько десятков метров и при отсутствии большого количества конкурентов на каналах 6, 11 — уже можно.
По поводу репоста все логично =)
1) Тематика совпадает.
2) Земляк.
3) Вместе работали в Микротесте, пару раз над одними и теми же проектами.
Максим, ну, полно. 11b устройств уже не осталось в природе. Если из 1 000 000 клиентов найдется то у которого отсутствует поддержка 11g, то можно смело порекоменовать ему купить новый аппарат. Страшилки о том что «не все клиенту могут быть обслужены» можно смело игнорировать в этом плане.
По поводу нерабочих каналов — есть еще такая тема с устрйоствами на Windows Phone. Некоторые аппараты не поддерживают 13 канал принципиально, видимо по причине отсутствия других стран кроме Америки =)
Некоторые ноунейм аппараты на анройде тоже этим грешат.
Мне лично схема 1-5-9-13 не нравится по другой причине. С ней невозможно (точнее, возможно, но уже не имеет смысла) размещать точки близко друг к другу, а иногда это нужно (mesh).
Да, у обычных точек есть ограничение по клиентам на уровне драйвера радиомодуля.
Если устройства подключились, ушли в сон и «висят» на точке, периодически просыпаясь и передавая трафик, а слоты кончились — вы не подключитесь.
С другой стороны, иногда ограничивают на софтовом уровне (Hostapd?) и ставят лимит на подключение. Тогда вы точно так же не сможете авторизоваться, но ужу по причине настроек, выставленных администратором.
И это максимальная мощность блока питания, которая перекрывает мощность роутера.
Я это пишу просто для того чтобы показать границу между вашей нарнией и реальным миром.
Сам я и так каждый день спецификации на радиомодули раскуриваю, где потребление указано.
А почему вы считаете что можно забить на PFS и пользоваться legacy схемой когда перехват/кража ключа позволяет расшифровать ВЕСЬ собранный до этого трафик?
Это приемлемо во славу стабильного релиза?
Вы бы тоже утверждали что писали осознанно под 2.7 и явно ограничили это в статье, а критика подобного это "вне контекста"?
Нет, милейший, вы решили выложить свои наработки в открытый доступ и даже написали статью. "Выйти и поговорить" это другой формат, будьте готовы пояснить за свое решение публично
Вы пытаетесь опровергнуть то чего я не говорил.
Вы ПОДТАЛКИВАЕТЕ пользователей к использованию менее безопасного протокола. И это даже еще хуже чем если бы вы что-то утверждали. Потому что в таком случае можно было бы оспорить или опровергнуть утверждения. А тут вы просто даете инструмент, который заведомо deprecated и еще вдобавок РЕАЛЬНО снижает безопасность решения вцелом. Но при этом он позиционируется как "то что избавит вас от боли".
Осознанно или по незнанию, но вы сделали ужасную вещь.
Бэкпорт о котором речь попал туда пол года надаз, а до этого, соответствено присутствовал в версии 1.1.
Последние коммиты — это исправления опечаток, выравнивание отступов и прочие вещи которые обычно делают коты когда у них других занятий нет.
Пройдите сюда и посмотрите что это за релиз
https://github.com/gsliepen/tinc/commits/master
Хватит мыслить как школьник и фапать на циферки.
Посмотрите к чему это привело. Я уже высказывался выше.
1) Дублирование функциональности
2) Навязывание пользователем устаревшего и менее безопасного протокола.
В вашем случае это не "использование проверенного решения и адаптация", а
1) Дублирование уже имеющейся, работающей и протестированной функциональности.
2) Подталкивание пользователей к использованию менее надёжного механизма аутентификации.
И все это сознательно, исключительно на поводу у собственных предрассудков, раз вы в курсе про существование версии 1.1.
Или вы не разобрались и не изучили работу механизма инвайтов и распространения ключей без непосредственного их добавления, на основании доверия к промежуточным нодам?
Просто бегло по верхам прочитали мануал, нашли фатальные недостатки и пошли писать?
Это очень однобокое оправдание.
Не напомните сколько раз за этот год выходили патчи стабильной openssl?
Как же так, ведь это проверенное решение?
Tinc 1.0 по части механизмов аутентификации именно фундаментально уступает 1.1.
Потому мое сравнение с пыльной полкой и кактусом как раз кстати, я не просто так это написал.
В использовании RC нет ничего плохого. OpenWrt (как пример) последние стабильные релизы выпускали на основе ветки wireless-testing или backports в статусе RC.
Ubuntu уже много лет тащит пакеты из debian testing и experimental. Так что про риски и прочие это не более чем притянутые за уши аргументы.
Завтра случится очередной heartbleed и что, это повод не использовать новые "непроверенные" версии opensssl и сидеть на 1.0 ?
LibreOffice регулярно релизятся, а потом дают отмашку о том с какой минорной версии по их мнению "можно в продакшен".
Так что я вам рекомендую перестать фиксироваться на цифрах и смотреть больше на стабильность API. В этом плане Tinc 1.1 давно созрел.
А вот чтобы говорить об ограничениях, нестабильности или недостаточной готовности той или иной версии, требуется как минимум изучить примеры использования других людей, а ещё лучше приложиться самому и тоже протестировать. В таком случае это будет предметный разговор.
А сидеть на стуле и рассуждать "ну, они что-то не релизят и я опасаюсь" — это, пардон, балобольство.
Изменение циферки в версии это не причина того на сколько ПО стабильно, а следствие.
К слову, версия 1.1 на данный момент есть даже в debian experimental. Не говоря о ppa и с сторонних репозиториях.
Грубо говоря, вы сосредоточились на версии 1.0 в которой применяется устаревший тип аутентификации и отсутствует поддержка
эллиптики.
А так же отказались от механизма инвайтов который делает ровно то же самое что и ваш сервис.
То есть, фактически, вы взяли с пыльной полки кактус и героически его съели.
Это я к тому что в версии 1.1 именно для данных целей был внедрён механизм инвайтов, а для деплоймента ключей остальных участников достаточно доверия к "boot" ноде.
То есть, это все решается просто использованием версии 1.1 с необходимыми параметрами в конфигурации.
Зачем в 2019 использовать устаревшую версию и героически пытаться пеиеизобрести то что уже сделано и работает?
Я понимаю, что вендоры любят кормить всех вкусными сладкими прогнозами, рассказывать о том как космические корабли бороздят Большой театр, а так же называть маркетинговые максимумы технологий, умалчивая об их применимости в реальной жизни. Дак вот, реальная жизнь горькая и это нужно учитывать.
802.11n зашёл на рынок десять лет назад, 802.11ac пять лет назад. И при этом 802.11n пока более чем актуален Плюс, пользователи стали реже менять свои мобильные устройства, об этом говорит статистика последних лет.
Значит ближайшие 5 лет точно никаких улучшений от Wi-Fi 6 можно не ждать. Все будет упираться в обратную совместимость. И только ближе к 2030 году мы повсеместно (а не в отдельно взятых сетях) увидим реальный профит от OFDMA.
Вся надежда на 60Ггц который не был освоен и там нет бремени обратной совместимости.
То есть, 802.11ad и 802.11ay
Такие дела.
Это делается в рамках стандарта 802.11k
Не благодарите=)
802.11r нормальный только на айфонах реализован, да и то использует его полтора землекопа.
Большинство 2.4 Ггц модулей поддерживают режим 11b, так как эту часть из стандарта никто не убирал, она все еще актуальна. Вот только, поддержка на уровне устройства и активация режима совместимости — это две разные вещи. Иногда заказчикам приходится такое дополнительно пояснять =)
Близмики мы считаем все что 10м и меньше. В некоторых случаях мы разносили устрйоства на 5 метров. Спектральная маска 802.11n не позволяет нормально сосуществовать в таких условиях набору 1-5-9-13. Несколько десятков метров и при отсутствии большого количества конкурентов на каналах 6, 11 — уже можно.
По поводу репоста все логично =)
1) Тематика совпадает.
2) Земляк.
3) Вместе работали в Микротесте, пару раз над одними и теми же проектами.
Продолжайте движение.
www.mos.ru/city/projects/smartdevice
По поводу нерабочих каналов — есть еще такая тема с устрйоствами на Windows Phone. Некоторые аппараты не поддерживают 13 канал принципиально, видимо по причине отсутствия других стран кроме Америки =)
Некоторые ноунейм аппараты на анройде тоже этим грешат.
Мне лично схема 1-5-9-13 не нравится по другой причине. С ней невозможно (точнее, возможно, но уже не имеет смысла) размещать точки близко друг к другу, а иногда это нужно (mesh).
Если устройства подключились, ушли в сон и «висят» на точке, периодически просыпаясь и передавая трафик, а слоты кончились — вы не подключитесь.
С другой стороны, иногда ограничивают на софтовом уровне (Hostapd?) и ставят лимит на подключение. Тогда вы точно так же не сможете авторизоваться, но ужу по причине настроек, выставленных администратором.
Power: 12 VDC, 1.5 A
И это максимальная мощность блока питания, которая перекрывает мощность роутера.
Я это пишу просто для того чтобы показать границу между вашей нарнией и реальным миром.
Сам я и так каждый день спецификации на радиомодули раскуриваю, где потребление указано.