Компания Microsoft объявила об открытии кода библиотеки MsQuic с реализацией сетевого протокола QUIC. Код написан на языке Си и распространяется под лицензией MIT. Библиотека кроссплатнорменная и может использоваться не только в Windows, но и в Linux с задействованием Schannel или OpenSSL для TLS 1.3. В дальнейшем планируется поддержка и других платформ...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52844
Очень полезно и своевременно. Буду пользоваться. Спасибо!
Так толсто, что аж тонко.
Сам вбросил - сам прокомментировал.
Родная забава.
...и сам же себя отругал:)?
> Очень полезно и своевременно. Буду пользоваться. Спасибо!QUIC полезно, Microsoft - очень вредно! все помнят так называемый "стандарт" OOXML
всё, к чему прикасается Microsoft, превращается в субстанцию
обана аж четыре минуса. опеннет пал под натиском виндолеммингов. эх, Шигорин, постарел... жаль
Может просто выросли линуксолемминги и поняли, что за 20 лет так альтернатива мс и не создана, хотя все очень хотели, а мс такой плохой...
мы поняли что макос лучше, а ведь эпол такая же буржуинская плохая компания
когда нечего написать припиши эпл)
Шёл 2020 год, у Линукса на десктопе всё те же 2%, что и 20 лет назад. Линуксоиды всё продолжали рвать форумы в обсуждениях «как забороть Майкрософт и покорить мир» и искать ответ на вопрос, почему «эти тупые хомячки» не хотят обниматься с пингвином. Хотя ответ на этот вопрос давно уже понятен — потому что Linux это не система, а ворох разнородных поделок, смотанных изолентой.
Нет pmtud? То есть в интернете это работать не предназначено, спасибо, MS, ты как всегда в форме.
EEE
эх, если бы...То есть, да, EEE - но в этот раз - от гугля.
Одни EEEшники отEEEшили других EEEшников.
Easy to learn, Easy to work, Easy to play?
Ещё один офигительный протокол. В то же ведро его, что и DoH
Ой, в вашу пещеру интернет провели? DoH ему не нравится...
здрасьце, линуксоиды полюбили говнокостыли
Я к любому code style могу привыкнуть, но ведь там его вообще нет!
Фигурные скобки - где-то K&R, где-то (иногда) Allman.
Пробел перед if - то есть, то нет.
Переменные то CamelCase-ом (что довольно дико выглядит в C), где-то (иногда) нет.У них в их вижуал-студиях автоформатирование кода так и не завезли, что ли?
Кто-нибудь расскажет индусам про шланг-формат и будет норм, не всё ли равно? В студии без шлага действительно не очень, только intellisense на хорошем уровне. Важнее другое, наконец-то появилась нормальная реализация! Ещё бы она не была завязана не венду, вообще красота была бы. Я так понял, они тупо надёргали кусков из своего блобоблоба.
Может просто каждый программист форматирует как хочет.
Чувствительные эстеты могли бы уже настроить себе какую-то хрень для автоформатирования кода согласно их причудам. Обычные программисты пробелы не считают и пишут "по месту".>CamelCase-ом (что довольно дико выглядит в C)
Что, при работе с Си ваша религия запрещает пользоваться шифтом? А как вы вводите всякие > и прочие кавычки? Неужели ди-три-графами?
Неврозы нельзя запускать -- они могут привести к очень серьёзным заболеваниям.
Между camelCase и CamelCase две большие разницы. Первое - нормально, второе (для переменных) - какая-то сишарпная дикость
Эти "большие разницы" существуют лишь в некоторых больных головах. Нет никакого, хотя бы самую малость адеватного, основания чтобы возражать против CamelCase. Вообще. Ни даже одного-одинёшенького самого крошечного основаньица.
Да я и не то, чтобы возражаю, ради бога, стиль кода может быть любым. Но он должен быть! А не кто в лес, кто по дрова.
> Но он должен быть!Нет не должен. А если читателю очень хочется чтобы он был, то он может настроить себе соотвествующую утилиту и форматировать код перед чтением как заблагорассудится.
Попробуйте с таким подходом отправить патч в какой-нибудь уважающий себя проект, например, в linux kernel. Многое узнаете.
> Попробуйте с таким подходом отправить патч в какой-нибудь уважающий себя проект, например,
> в linux kernel. Многое узнаете.Нет, не узнаю. В разных проектах могут быть разные требования. В том числе некоторых требований может и не быть. Хотят -- пусть регламентируют пробелы или наименования переменных. Их право. Это не повод требовать от любого проекта выставления аналогичных требований. Тем более ещё и крутить носом по сути этих требований. CamelCase им, видите ли, не нравится. Тем более что носом начинают крутить не коммиетеры, а мимопроходящие читатели.
Индус-триальные погроммизды в студии? "Верстаю как хочу", вот это вот всё?
Никто действительно никому ничего не должен. И идея делать форматирование именно на просмотре хороша (благо куча софта есть для этого).Но во-первых, мы тут Microsoft дружно ненавидим, а вы почему-то с нами не согласны :)
А во-вторых, есть стихотворение "For want of a nail the shoe was lost", оно же в русском переводе "Потому что в кузнице не было гвоздя". С этого всё начинается, поленились сделать code guides, потом поленятся линтить и кто знает что ещё. Это не причина, а следствие лени и как признак качества кода.
Практика показывает. Всё вышесказанное, конечно же, имхо.
> Но во-первых, мы тут Microsoft дружно ненавидим,Не обращайте. Я, например, не ненавижу.
Это Гради Буч в своей книге рекоменовал использовать CamelCase для имён типов, а camelCase для экземпляров.
> Нет никакого, хотя бы самую малость адеватного, основания чтобы возражать против CamelCase.Есть.
http://www.cs.kent.edu/~jmaletic/papers/ICPC2010-CamelCaseUn...
Although, no difference was found between identifier styles with respect to accuracy, results indicate a significant improvement in time and lower visual effort with the underscore style. The interaction of Experience with Style indicates that novices benefit twice as much with respect to time, with the underscore style. This implies that with experience or training, the performance difference between styles is reduced.
Тут такое дело, что их ответ "есть различия" не сильно лучше ответа "есть различия" основанного на том простом и неоспоримом факте, что они по-разному выглядят.Исследователи попытались замерять разницу в когнитивной нагрузке, но как часто бывает с такого рода исследованиями, они замеряли на синтетическом тесте, и что именно они померяли -- не совсем ясно. Кроме того, у них там то ли 15, то ли 17 человек выборки (я подозреваю, что всё же 15, двух faculty members они потом выкинули, когда научрук сказал, что если уж не предпринимается попыток собрать репрезентативную выборку, то лучше уж иметь однородную выборку; двух членов выкинули из выборки, а текст статьи не везде исправили; хотя если подозревать злой умысел и подтасовку, то можно предположить, что те два члена ломали им всю картину, и они воспользовались удобным предлогом для исключения их из выборки). 15 человек, на измерение трёх корреляций -- это маловато будет. Для курсовой покатит, и на пилотный проект сойдёт, но вообще-то лучше уж сразу человек 50 набирать.
Это не то чтобы совсем на нет сводит достоверность их находок, но я бы не стал на них основывать такие решения, как выбор CodingStyle'а для проекта.
зы. Но не поймите меня неправильно, в целом это весьма грамотная статья, выполненная прям по учебнику, там выписаны зависимые и независимая переменная, объяснено что они из себя представляют и как контролируются, выписан план эксперимента -- всё чётко и ясно, понятно что они делали, что намеряли, как посчитали результат, и к какому выводу пришли. За такую курсовую полагается 5 без вопросов, даже если защита прошла не совсем хорошо. Это в СПбГУ покатило бы и на бакалаврскую работу, и на довольно хорошую -- как там за бугром я не скажу, не знаю. Но думаю, что за бугром тоже проканало бы. Но психология -- это такая штука, что до тех пор пока не будет десятка исследований, и не только репликаций, но и попыток проверить ту же теоретическую гипотезу другими способами, причём разными командами исследователей, пока по этим статьям не будет проведено метаисследование, которое объединит результаты, делать какие-либо практические выводы преждевременно.
> Между camelCase и CamelCase две большие разницы.Вообще-то:
camelCase - Кэмел-стайл
CamelCase - Паскаль-стайл
camel_сase - Си-стайл
Вот только "camel_case" - это не сишный подвид Camel case, а отдельный Snake case
OK.camelCase
PascalCase
snake_case
kebab-case
UPPER_SNAKE_CASE
ccase:)
>> Между camelCase и CamelCase две большие разницы.
> Вообще-то:
> camelCase - Кэмел-стайл
> CamelCase - Паскаль-стайл
> camel_сase - Си-стайлЕсли тебе так хочется переводить, то это, соответственно, верблюжийРегистр, ВерблюжийРегистр и верблюжий_регистр.
> Чувствительные эстеты могли бы уже настроить себе какую-то хрень для автоформатирования
> кода согласно их причудам. Обычные программисты пробелы не считают и пишут
> "по месту".проблема не в том, как я отформатирую у себя, а в том, что это косвено показывает качество кода в проекте, и отнощение Microsoft к нему
похоже Microsoft-овские индусы о единых стандартах в одном проекте и не слышали
и, вероятно о всяких кодревью и ко - тоже
Чего далеко ходить: на свой текст посмотри. Ни прописных литер ни точек в конце.Только вот твой текст -- прямое нарушение правил языка, а они просто красоту не наводят. А может и наводят, только анониму она чужда.
> Чего далеко ходить: на свой текст посмотри. Ни прописных литер ни точек
> в конце.
> Только вот твой текст -- прямое нарушение правил языка, а они просто
> красоту не наводят. А может и наводят, только анониму она чужда.и? у меня единый стандарт написания, а Не B0t ЭтО ВОТ всо!
Не компилируется твоя писанина. Ошибки в коде. Это главное.
Пробел перед if? Чтооо?
пардон, после :-)
видимо надергали код из разных проектов, и теперь не хотят получить огромный дифф в истории коммитов
Вам шашечки или ехать?
Я чот открыл наугад несколько файлов и не осилел найти принципиально разный стиль. В каких файлах отличается?
А вы на шкаф залезьте!
Потыкал по разным сишным файлам - да вроде всё в одном стиле написано. Наверное, я такой удачливый?
Интересно как это в .NET Core потыркать и начиная с какой версии оно там есть (особенно в линуксы).
И, может кто уже проверял, какие требования к реверс-прокси, чтобы это работало при условии наличия поддержки со стороны клиента и непосредственно сервера?
А 100500 уязвимотей в комплекте?
Супермегапупер корпорация раздала реализацию мертворожденного протокола от гугл, которую сделала чтобы угнаться за гугл, а теперь поняла что оно и нафиг не нужно.
"Мёртворождённый протокол" захватил уже каждый двадцатый сайт (по данным w3techs) . Хотя ещё не вышла финальная версия . Прыткий зомби .
да скоро каждый первый сайт будет гуглем, а остаьные не будут открываться, небезопасТно жеж.
Сильное утверждение, проверят его конечно же я не стану.
https://www.google.com/search?client=firefox-b-d&q=quic+stat...
И да, как не дели 100/7 три почему-то не получается.
Однако, их имеющихся в ядре достаточно. SCTP, DCCP чего не использовать-то?
Что-то за 16 лет существования нормальной поддержки MTP в linux не наблюдается.
Я в курсе что спецификация (и протокол) большое и невнятное УГ. Но что "от юзеров на Сях", что от корпов нормально работающего примерно ничего.
Много протоколов написал, болезный?
Телеметрия там, наверное, тоже передаётся про протоколу QUIC.
Ну нет, мы еще не настолько дураки. Телеметрия передается нормальным tcp, с которым не получится легко и просто залить наши сервера поддельными или срелееными хз через кого пакетами.А это - вам!
> легко и просто залить наши сервера поддельными или срелееными хз через кого пакетами.Relay-ены -- ОК, хоть и не понятно чего в этом плохого. Но вот "поддельные" -- это как? Трафик шифрованный, и аутентификация по асимметричной криптографии.
Протокол ускорения передачи телеметрии.
Microsoft лучшая open source компания 21 века!!!
>MsQuic с реализацией сетевого протокола QUIC.Стадия "extend"? https://ru.wikipedia.org/wiki/Embrace,_Extend,_and_Extinguish
Впрочем, и сам протокол не нужен.
>Стадия "extend"?ага, уже лет 15. Или уже 20?
> Подготовлена инфраструктура, проверяющая каждый коммит и pull-запрос в наборе из более 4000 тестовпо-моему на 1 000 000 зондов не хватит
Они просто эту либу в очередное обновление винды воткнут, с миллионов хомячков соберут телеметрию - и вуаля!
От Майкрософт нам ничего не нужно!
Ему от вас - тоже ничего, кроме денег.
гроши нас не интересуют.
Только ваши личные данные и ваши проекты.
Теперь вирусы по протоколу SMB поверх QUIC будут доставляться мгновенно
а раньше из-за тормозов ты успевал нажать кнопку "Отмена" ?
Объясните идиотку как это будет работать и можно ли это будет вообще настроить для следующей ситуации:Сервер А должен иметь возможность устанавливать соединение с сервером В.
(allow from A to B + allow established,connected)
Но сервер В не должен иметь возможности коннектится к серверу А.С TCP я это делаю в три правила на файрволе. Что мне делать с quic???
c quic гораздо проще - одним правилом на файрволе - drop.Оно дыра by design. Именно для того и придумано.
Нда, SMB over QUIC - начало конца всей сети в нынешнем виде. Жду когда подключатся отечественные мододелы. И прикрутят это к своим сайтам. Хочешь зайти на госсайт - скачай браузер под него. ПоноСпутник - быстрый как диарея.
> С TCP я это делаю в три правила на файрволе. Что мне
> делать с quic???Я думаю, что первым делом тебе надо поставить в ядро поддержку QUIC. Поддержку tcp ты запилил, и поэтому эти established работают для него, теперь надо quic добавить. С точки зрения протокола всё довольно просто: надо пропускать первый пакет соединения только в одну сторону. Как же это на синтаксис iptables ляжет -- это уже зависит от того, как это будет реализовано в модуле ядра и в iptables.
Ну что, чуваки: вот вам типовой образец мышления гугловых "разработчиков".Причем тамошние "разработчики" и заседатели в комитетах, штампующих их бредовые идеи - они вот ровно такие. Ну чуть пограмотнее в предметной области, но общий уровень именно этот.
А когда ему пальцем потыкаешь, почему "модуль в ведре" никак не сможет определить, "established" оно или нет, а "первый пакет в одну сторону" может, внезапно, быть поддельным - он придумает уморительнейшую подпорку и два феерических костылика. В них, понятно, точно так же, потыкав мизинчиком, развалишь всю конструкцию, но на каком-то этапе нагромождение бреда становится самоподдерживающимся. Вот примерно так и вышел quic.
Я не понял, о чём ты. Если мы фильтруем соединения в одну сторону отфильтровывая первый пакет, то как поддельность этого пакета может свести на нет нашу фильтрацию?
Какое время у тебя будет жить таблица состояний соединений у этого УДП?
> Какое время у тебя будет жить таблица состояний соединений у этого УДП?Не самая удачная идея рассматривать этот udp в отрыве от quic, и говорить соответственно надо о таблице состояний quic. А время жизни надо подбирать по юзкейсам, но начать можно с тех значений, которые есть для tcp -- они мне кажутся разумными стартовыми значениями.
> Я не понял, о чём ты.ты еще много чего не понял - например, исходную задачу, что такое "established" в случае quic и кто знает о том что оно established (правильный ответ - никто не знает), и как вообще это работало.
Зато осчасливливать мир - в первых рядах. Вот и у гугля такие же. Но тех хотя бы извиняет что они не за мир во всем мире, а за зарплату, и зарплата платилась за четко поставленную задачу - любым способом уменьшить нагрузку на сервера гугля, и пусть весь мир как хочет, так и расхлебывает.
А ddos'ов гугль не боится (и поучаствовать в них как релей - тоже не боится, см. судьбу abuse@gmail.com)
>> Я не понял, о чём ты.
> ты еще много чего не понял - например, исходную задачу, что такое
> "established" в случае quic и кто знает о том что оно
> established (правильный ответ - никто не знает), и как вообще это
> работало.А это не обязательно понимать, если читать формулировку _исходной_ задачи. Эта исходная задача о том, чтобы создать диод, пропускающий соединения в одну сторону, но не в другую. И в этой формулировке нет упоминания слова "established".
Насчёт же осчастливливания мира, я уверен в одном: миру нельзя позволять окаменевать, так например, как это сделал tcp. Не любое изменение -- это улучшение, но любое улучшение -- это изменение. Окаменевшая сущность не может стать лучше, значит её надо спускать в унитаз, даже если альтернативы хуже. И если мир от этого не станет счастливее -- мне-то что? Меня радуют улучшения и движение вперёд, а раз так, то борьба с окаменением сделает меня счастливее. И пускай весь мир подождёт... В смысле пускай он фалломорфирует и начнёт работать над доведением альтернатив до уровня, когда они будут лучше, чем смытые в унитаз окаменелости, таким образом от этого мира хоть какая-то польза будет.
А вот реально тебя не напрягает что такая шиза тебя долбает?
> А вот реально тебя не напрягает что такая шиза тебя долбает?Не, мне по фану. Особенно доставляет твой баттхёрт.
Ну если твоей душеньке по фану, можешь считать что у меня вот это вот. Главное что от шизоидного своего состояния не отпираешься, не всё ещё потеряно.
> Ну если твоей душеньке по фану, можешь считать что у меня вот
> это вот.Дело не в "считать" или "не считать", а в том, что ты мимо пройти не можешь, не начав рассказывать мне про шизофрению.
> Главное что от шизоидного своего состояния не отпираешься, не
> всё ещё потеряно.Оправдываются клинические случаи: они чувствуют разрыв между состоянием психики и реальностью, но осознать его им не удаётся. Но в моём случае, разрыв между состоянием психики и реальностью -- это самая мякотка, мне ковырять его гораздо интереснее, чем даже реальность как таковую или, скажем, твою неспособность пройти мимо не откомментив.
Мне просто нравится как ты напыщено концентрируешься на себе. Кажется я разика три не проходил мимо твоих простынок слов. Остальные случаи остались без моего внимания, как совершенно неинтересные. Как читая жижу знакомого на автомате пролистываю посты про текущую политику. Поэтому моя неспособность пройти мимо это просто прелестно, прелестно.
Ладно оставляю тебя нарцисировать дальше в этой ветке.
> Мне просто нравится как ты напыщено концентрируешься на себе. Кажется я разика
> три не проходил мимо твоих простынок слов.На себя посмотри, прежде чем говорить о том, кто на ком концентрируется. Ты у меня отображаешься как "Аноним". И я даже не пытаюсь разбираться в том, сколько вас там таких. Не надо думать, что я общаюсь с тобой, как с конкретной особью Homo Sapience: ты представился как "Аноним", я общаюсь с Анонимом, то есть с некоторой виртуальной личностью, поддерживаемой усилиями неизвестного мне числа Homo Sapience. Если тебе так нужно, чтобы я тебя выделял из толпы остальных, запишись в неймфаги.
> миру нельзя позволять окаменевать1) а если миру позволить "окаменевать", то что произойдет ?
2) создатель systemd думал точно также.
> 2) создатель systemd думал точно также.Во-первых, уже действительно накопился ряд мелких проблем в старых системах инициализации. И systemd своим появлением стимулировал развитие других систем инициализации.
Во-вторых, systemd -- это плохой design и плохая реализация с вполне конкретными проблемами. И тяжело обосновать, например, переход с OpenRC на SystemD, ибо не понятно какая от этого будет польза (в OpenRC нет "простыней", грузится быстро), а вот какой вред -- вполне понятно (как минимум, есть большое количество case-ов, где диагностика сильно затруднена).
И даже несмотря на все минусы systemd, всё равно приходится признать, что теперь стало удобно настраивать некоторые фишки по безопасности, появился единый стандарт между множеством дистрибутивов и т.п.
В общем, делать что-то с системами инициализация -- это не плохо per se. Жаль лишь, что сделали systemd. Но даже systemd -- не абсолютное зло, и в нём есть определённый прогресс. Очень надеюсь, что когда-нибудь взяв лучшее из systemd и openrc сделают новую систему иницилизации и новый системный менеджер (и разделят этим понятия обратно).
>> миру нельзя позволять окаменевать
> 1) а если миру позволить "окаменевать", то что произойдет ?Во-первых, будет скучно. Во-вторых, что не развивается, то загнивает, теряет способность изменяться. И чем дольше оно не меняется, тем хуже со способностью изменяться и реагировать на новые вызовы.
> 2) создатель systemd думал точно также.
Тут неуместно прошедшее время, он и продолжает так думать. И ведь не ошибся, сукин сын, сейчас системы инициализации пилит каждый, кому не лень. Теперь есть из чего выбрать, есть возможность сравнить разные подходы в разных ситуациях, и не просто умозрительно прикинуть, а реально вот взять и попробовать.
И против этого придумали SCTP, да и TCP в общем-то развивался - но нет, Гугол страдат NIH-синдромом...
Established это свойство TCP протокола. Его просто нет в udp и quic. Состояние о сессии зашифровано внутри TLS 1.3 и промежуточный сервер не имеет доступа к этим данным. By Design!т.е. нам рисуют следующую архитектуру будущего: полное отсутствие пограничных/промежуточных файрволов и концепции dmz. Только файрволы точка-точка на начале и конце маршрута. Это АД и Израиль!
> Established это свойство TCP протокола.Не совсем. Выше, в постановке задачи, слово established было употреблено в контексте iptables, то есть это ключевое слово синтаксиса, которое соответствует чему-то там в реальности. И, я отмечу, что оно было употреблено в примере, постановка проблемы звучала так
> Сервер А должен иметь возможность устанавливать соединение с сервером В.
> Но сервер В не должен иметь возможности коннектится к серверу А.Человеку не нужен established, сам по себе, ему нужно чтобы коннекты проходили только в одну сторону.
> Его просто нет в udp и quic.
> Состояние о сессии зашифровано внутри TLS 1.3 и промежуточный сервер не
> имеет доступа к этим данным. By Design!Дык в https состояние сессии тоже зашифровано. Уровень сессии в OSI -- это ведь про 404 Not Found, 301 Moved Permanently и тому подобны штуки, так? Ты ведь об этом?
> т.е. нам рисуют следующую архитектуру будущего: полное отсутствие пограничных/промежуточных
> файрволов и концепции dmz. Только файрволы точка-точка на начале и конце
> маршрута. Это АД и Израиль!Если это действительно так, то я всеми руками за. Задача провайдеров передавать пакеты, а не фильтровать их. Но проблема в том, что это не так. Разработчики сайта, если хотят фильтровать, вполне могут поставить nginx в режиме reverse proxy и фильтровать им. Или даже запилить что-нибудь попроще nginx, что расшифрует, и пустит внутрь сетки расшифрованный трафик, чтобы дальше уже его фильтровать или маршрутизировать чем угодно. Я не вижу непреодолимых проблем. В корпоративных сетях, где сидят пользователи, которых надо фильтровать, может быть сложнее всё, но в корпоративной сети ты можешь внедрить свои сертификаты клиентам в принудительном порядке, и дальше врезаться в QUIC очень глубоко, имея не меньший доступ к кишочкам потоков, чем агенты на концах quic-соединения.
Да, всё это потребует перетряхивания существующих инструментов, и даже разработки новых. Ну и отлично. Повод избавиться от старпёров в среде админов.
> В корпоративных сетях, где сидят пользователи, которых надо фильтровать,
> может быть сложнее всё, но в корпоративной сети ты можешь внедрить
> свои сертификаты клиентам в принудительном порядке, и дальше врезаться в QUIC
> очень глубоко, имея не меньший доступ к кишочкам потоков, чем агенты
> на концах quic-соединения.Может быть. Нда, может быть. Судя по всему тебе не давали потрогать корпоративные сети. Иначе ты так бы не заливал про сертификаты. Уже сейчас с тлс1.3 есть сайты которые в случае раскалывания трафика отображаются неверно. Или совсем не работают.
> Может быть. Нда, может быть. Судя по всему тебе не давали потрогать
> корпоративные сети.Не давали. Да я и не просил. Администрировать -- это не моё.
> Иначе ты так бы не заливал про сертификаты. Уже
> сейчас с тлс1.3 есть сайты которые в случае раскалывания трафика отображаются
> неверно. Или совсем не работают.И это так важно? В смысле есть ли среди этих сайтов такие, без доступа к которым сотрудникам компании никак не обойтись?
Но, на деле, это тоже ведь не является непреодолимой проблемой. В корпоративном окружении можно контролировать весь софт, а значит иметь пропатченную libquic.so, которая по dbus'у общается с демоном, который управляет фильтрацией.
А, кстати, как это сделано? Что там такого творит сайт, что его невозможно отпроксировать? Чем отличается прокси от браузера таким, что трафик корёжится? Привязка к ip где-то как-то всажена? Но это ведь тоже не так просто: через NAT-то оно работает, так ведь? Может у тебя тлс1.3 как-то не так настроен, просто? Ты не пробовал всякие инструменты отладки в ff/chrome, чтобы высмотреть разницу при работе напрямую и через прокси?
> А, кстати, как это сделано? Что там такого творит сайт, что его невозможно отпроксировать?Это проверка через джаваскрипты что нет МиТМ. В результате для корректной работы сайта надо иметь на проксе веб-движок с возможностью тонкой нарезки скриптов из полученного потока с сервера. Плюс ещё куча всего через джаваскрипты обмотано на странице. В результате после раскола трафика и подмены сертификата получается нерабочий сайт. И естетсвенно когда звонит топ по этому поводу - сайт добавляется в исключения из расшифровки.
>> А, кстати, как это сделано? Что там такого творит сайт, что его невозможно отпроксировать?
> Это проверка через джаваскрипты что нет МиТМ. В результате для корректной работы
> сайта надо иметь на проксе веб-движок с возможностью тонкой нарезки скриптов
> из полученного потока с сервера. Плюс ещё куча всего через джаваскрипты
> обмотано на странице. В результате после раскола трафика и подмены сертификата
> получается нерабочий сайт. И естетсвенно когда звонит топ по этому поводу
> - сайт добавляется в исключения из расшифровки.То есть разработчики сайта пошли на нефиговые сложности, чтобы исключить MitM, тебе это не удаётся, а виноват во всём протокол? Что-то мне подсказывает, что либо этот сайт не нужен организации, либо организации следует пообщаться с держателями сайта и объяснить ситуацию, пробашлять им, и совместными усилиями добиться нужного результата.
Протокол тут ни при чём, можно и через http без шифрования насыпать клиенту обфусцированных скриптов полмегабайта, которые будут проверять да так, что потом для того, чтобы отпроксировать пришлось бы сажать ревёрсера на ставку, чтобы он писал бы код обхода проверки, и обновлял бы этот код следом за каждым обновлением сайта.
> То есть разработчики сайта пошли на нефиговые сложности, чтобы исключить MitM, тебе
> это не удаётся, а виноват во всём протокол? Что-то мне подсказывает,
> что либо этот сайт не нужен организации, либо организации следует пообщаться
> с держателями сайта и объяснить ситуацию, пробашлять им, и совместными усилиями
> добиться нужного результата.О, ну да. Человек который не имел реального опыта работы, по собственному признанию, быстро разрулил тему. И определил кому и что надо делать и кому башлять. И какие там нефиговые сложности с джаваскриптом. И как тут протокол не при чём, и все эти тлс1.3 с есни, ссл-пининги, хттп-пининги, ДоХ до кучи сюда же защита от ддос и сдн - это проблемы клиентов.
Ладно, с тобой всё понятно клоунок.
> О, ну да. Человек который не имел реального опыта работы, по собственному
> признанию, быстро разрулил тему.Естественно. Такого рода темы разруливаются гораздо проще со стороны. Люди которые в теме, смотрят на проблему изнутри, они залипли на том, что есть, и нет ничего удивительного в том, что они неспособны разрулить проблему. Им проще валить все проблемы на жестокий и несправедливый мир, а не на свою неспособность решать проблемы.
Тоже мне открыл америку. Недели не проходит что бы я такой закостеневший не разгребал навоз за такими как ты - разруливателями со стороны. Когда вашему брату предлагаешь перевести всё на денежный формат вы обычно верещать начинаете. Ну там почку продать, если в результате вашего решения будут убытки. Или перечислить всю свою оплату в мой карман, в случае всплывших косяков. Нет вы не валите на жестокий мир свои проблемы, вы тыкаете в меня и других залипших пальцем. А когда такие как я разруливают вашу проблему, вы уходите в тину. Даже признания собственных ошибок не дождеся. Так что я вполне в курсе всех этих ваших "мы наш, мы новый мир построим".
> Тоже мне открыл америку. Недели не проходит что бы я такой закостеневший
> не разгребал навоз за такими как ты - разруливателями со стороны.Где-то уже сказал, скажу ещё раз: я не сисадмин, не был им никогда (два года в школе не в счёт) и никогда не буду. Совершенно нет желания. За такими как я ты разргебать не мог, потому как такие как я не собирают систем.
> Когда вашему брату предлагаешь перевести всё на денежный формат вы обычно
> верещать начинаете. Ну там почку продать, если в результате вашего решения
> будут убытки.Эмм... Я наоборот всегда за денежный формат: чем больше ответственности я на себя беру, тем больше стоит моя работа. Как в теории игр: вероятность успеха помножить на выигрыш, должна быть больше чем вероятность провала помножить на проигрыш. Если это не так, то связываться бессмысленно. Если это так, то если проигрыш больше того, что я могу отдать, то надо найти какую-нибудь страховку -- возможность взять в кредит, например, по разумным ставкам. Или работать от компании, которая на себя возьмёт эти риски за процент.
> Эмм... Я наоборот всегда за денежный формат: чем больше ответственности я на
> себя беру, тем больше стоит моя работа. Как в теории игр:
> вероятность успеха помножить на выигрыш, должна быть больше чем вероятность провала
> помножить на проигрыш. Если это не так, то связываться бессмысленно. Если
> это так, то если проигрыш больше того, что я могу отдать,
> то надо найти какую-нибудь страховку -- возможность взять в кредит, например,
> по разумным ставкам. Или работать от компании, которая на себя возьмёт
> эти риски за процент.Хорошие слова все вроде правильные. Только нафиг не нужны в реальной жизни. Потому как в сухом остатке имеем: ты никогда в жизни не работал плотно по этому направлению, ты не в курсе как обстоит ситуация(только перепевки в интернетах статей изучал), ты никогда с реальными убытками дело не имел(потому что распродажа тебя по органам не покроет возможный убыток).
Но плетешь за теорию игр и стратегии.
Все слова таких как в реальной жизни оканчивается либо консалтом - читай мы получаем большие деньги, указываем вам что делать, сами ничего не делаем, все ваши проколы потому что неправильно выполнили наши слова. Либо фирмами однодневками с уставным 10круб.
Понты эти колоти перед дурачками. Благо их в начальственном корпусе много, стрельнет на ком-нибудь.
А я то тебя прекрасно вижу насквозь и всё что ты можешь предложить это зиро.
> Но плетешь за теорию игр и стратегии.
> Все слова таких как в реальной жизни оканчивается либо консалтом -
> читай мы получаем большие деньги, указываем вам что делать, сами ничего
> не делаем, все ваши проколы потому что неправильно выполнили наши слова.Хы. Консалт нужен потому, что такие как ты через губу смотрят на теорию игр и на теорию принятия решений, и поэтому вынуждены платить консультанту, который ещё вас и прокинет через член, и соскочит в случае чего.
> А я то тебя прекрасно вижу насквозь и всё что ты можешь
> предложить это зиро.Ты тоже. Вот смотри, ты влез в разговор, и свёл его моментально к "ты дурак/сам дурак". Ни слова по делу. Ты строишь из себя тут специалиста системного администратора, но ты не одного слова не произнёс в рамках своей квалификации. Всё что ты говорил -- это выход за рамки квалификации. А это надёжный признак того, что врёшь ты всё про свою квалификацию. Хорошие специалисты научены опытом, и за рамки своей специальности не лезут: один шаг за рамки специальности, с большой вероятностью косяк, и дальше на тебя всех собак повесили.
Ты понимаешь, что пытаясь доказать мне что-то обо мне ты никогда ничего не докажешь? Мне известно гораздо больше фактов обо мне, чем тебе. Я очень склонен к рефлексии, и никогда не упускаю случая проверить её результаты подключением стороннего наблюдателя. И тут ты такой пришёл ставить диагнозы по аватарке, не будучи при этом ни психологом, ни вообще никакого гуманитарного образования не имея. То есть ты вообще лох педальный в той теме, в которую влез, и при этом щёки тут надуваешь, пытаешься меня в чём-то убедить.
Если тебе так надо меня в чём-то убедить, то наилучшая стратегия для тебя делать это в рамках твоей специализации. Причём и разговор на эту тему как раз, но... Пфеу, твоя квалификация кончилась, и ты предпочёл лезть за её границы. Что говорит мне о том, какой же ты пустозвон-специалист.
> Хы. Консалт нужен потому, что такие как ты через губу смотрят на теорию игр и на теорию принятия решений, и поэтому вынуждены платить консультанту, который ещё вас и прокинет через член, и соскочит в случае чего.Ну вот и раскрылся. Консалт это сборище копрофагов живущее на неспособности руководящего состава соображать. Ты в славной когорте дармоедов что надувают щечки и умеют только в уши дуть дурачкам.
Лечить про теорию игр и принятие решений можешь своих друзьям в песочнице. Без реального опыта и практике в нужной области всё твои слова ничего не значат. Иди гуруй лошкам, а не мне.> Ты понимаешь, что пытаясь доказать мне что-то обо мне ты никогда ничего не докажешь?
Это не тебе слова. Это окружающим, для понимания что такое пустозвон и как они действуют. Может кому-то поможет в будущем не попасться на удочку твоего брата.
<позевывая> А так ты не в курсе рамок моей специализации. Просто в отличии от тебя я делаю это всё ручками, и имею реальный опыт не только в этой области. Не всем же как ты по статейкам пафосно вещать.
Знаешь как иногда приятно поймать вашего брата и опрокинуть на деньги? хехе. Вы все так мило начинаете бегать и верещать когда оказывается вместо розового лошка люди с опытом попадаются. И вам твердый саморез вкручивается в голову. И всё по закону, и по бумагам. С вашей стороны их же такие как ты педальные подписывали - пафоса много а опыта нет.
> Это не тебе слова. Это окружающим, для понимания что такое пустозвон и
> как они действуют.Ах, ты из этих информационных военов, которые своим примером пытаются показать окружающим, как надо? Простите, не узнал вас в гриме.
Но мне всегда интересно было, вот вы там ведёте информационные войны, неужели кто-то кроме участников читает длинные треды? Не кажется ли тебе, что ты крайне непродуктивно тратишь своё время? Если ты пишешь что-то на публику, то первое чем следует озаботиться -- это тем, чтобы максимальное число людей бы прочитало. И тут ты ещё раз демонстрируешь к чему приводит выход за границы специализации: ты не пиараст, не маркетолог, и даже какого-нибудь смежного образования не имеешь. Но несмотря на это лезешь, и совершаешь тупейшую ошибку.
Если ты решишь продолжить, то я могу предостеречь тебя ещё от одной ошибки: если ты пишешь что-то, тебе надо представлять себе целевую аудиторию, и писать для неё. Ты же пишешь для себя, для своего собственного удовлетворения.
> <позевывая>
Нервничаешь? Это чувствуется.
Нужно просто в firewall добавить поддержку QUIC. Там есть заголовки и ID соединения, поэтому достаточно легко определить с какой стороны приходит первый пакет.
Покажите-ка мне пальцем такой фаервол. Есть хоть один, а? Уже несколько лет пытаюсь найти хоть одно решение для квига. Их просто нет. Все советуют блокировать трафик, тогда клиент падают на обычный хттпс. Это продолжается уже несколько лет. Несколько лет, епрст.
А тут аноним с опеннета пишет - нужно просто добавить поддержку квика.
> Покажите-ка мне пальцем такой фаервол. Есть хоть один, а?Никогда не искал. Но on the top of my head, вы можете использовать XDP.
Но если бы мне по работе требовалось бы фильтровать QUIC, я уверен, я бы без проблем написал соответствующий модуль. И потом долго и упорно push-ал бы его в upstream.
А, гогно и палки. Как это прелестно. Есть циска, джуники, палоальто, форце, екстремнетворкс и много других компаний специализирующихся на этом направлении. Вот среди этих где мне найти вменяемый фаервол для квика?
Для локалхоста конечно это не надо. Но каждый аноним с опеннета левой пяткой напишет модуль.
Заколдованный круг какой-то. Многомилионный сектор хочет но не может сделать вменяемый фаерволл для квика, а аноним может но не хочет.
> А, гогно и палки. Как это прелестно.Чего-нибудь про SDN слышали? Как вообще в больших IT-компаниях сеть работает по-вашему? Думаете там ASA стоит в качестве firewall-а? Там то, что вы называете "гогном и палками".
P.S.:Если быть конкретнее, то у них своя ОС для коммутаторов/маршрутизаторов. И конкретно то, что успел увидеть я -- всегда было на базе Linux.
Тaк я yвижy ссылкy нa прoизвoдитeля фaeрвoлoв рeклaмирyющих рaбoтy с квикoм тaк кaк нaдo сeтeвикaм? Или oпять прoслyшaю прo сдн и прoчий лaпчaтый брeдoк? Мoл y нaс eсть тaкиe прибoры нo мы вaм их нe пoкaжeм...
Ты свoи три бyкoвки мoжeшь приписaть к любoй из кoмпaний чтo я yкaзaл. Нy и к кyчe дрyгих прoизвoдитeлeй сeтeвoгo жeлeзa. И o чyдo - oни всe прoизвoдят SDN жeлeзo. a квикa кaк нe нaблюдaл тaк и нe нaблюдaю.
Сдaeтся мнe aнoним нa oпeннeтe тo тoгo, лyкaвит нeмнoжкo.Мaлaдчинкa аутомудератор. Удалил текстик. Не гордый, повторю.
> Тaк я yвижy ссылкy нa прoизвoдитeля фaeрвoлoв рeклaмирyющих рaбoтy с квикoм тaк кaк нaдo сeтeвикaм?Давайте разделим потребителей на три ниши:
* Мелкий (localhost, стартапы, малые и средние IT-компании, не-IT-компании любого размера).
* ISP
* Большой (большие IT-компании)То что вы говорите -- это только вторая ниша. Другие две покрыты Linux-ом. И, кстати, когда я работал в ISP, там тоже использовали Linux в качестве firewall для Web-серверов.
В случае больших компаний производитель оборудования внезапно лишь производит оборудование, а программная начинка делается самой компанией. Таким образом в продажу такие firewall-ы не попадают.
ISP подтянутся последними, когда уже выбора не будет. Тогда и под них начнут делать соответствующее оборудование.
Причём тут продажа? Хоть решение от фирмы под ключ, закрытое от покупателя, я увижу? Где хоть один рекламный проспектик на эту тему? И при чём тут веб-серверы? Прямо в новости мы видим как на квик сажают смб. А про ИТ-компании очень смешно - самописный линух для идс, ипс. Что бы данные фирмы могли работники по всему интернету разбросать.
> Хоть решение от фирмы под ключ, закрытое от покупателя, я увижу?Вы игнорите что я пишу, да? Ещё раз говорю, компания делает прошивки для нужд своей собственной сети. Какое тут "решение от фирмы под ключ, закрытое от покупателя"? Это решение сделаенное самим покупаетелем.
Я бы с радостью показал ссылку на то, про что говорю я, но лично я подписал NDA. Однако если погуглить какую-нибудь случайную компанию, то можно найти, например:
https://engineering.fb.com/data-center-engineering/facebook-.../
И если зайти на GitHub:
https://github.com/facebook/fboss/search?q=quic&unscoped_q=quicВидно, что оно использует какие-то свои закрытые модули по работе с QUIC.
> А про ИТ-компании очень смешно - самописный линух для идс, ипс.
Смейтесь на здоровье. Но по мне ваш смех выглядит по меньшей мере иронично :)
А вообще, рекомендую периодически менять работу, и смотреть какие решения применяется в разных видах компаний.
То есть я правильно понял...
Все сетевики воют от квика и просят оборудование для вменяемой работы с этим протоколом. Максимум что получают - дропайте пакеты для того что бы веб-серверы переходили на обычный хттпс. Люди готовы отдавать большие деньги за решение под ключ. А фирмы в секторе сетевого оборудования сидят и не делают ничего что бы грести миллионы. А надо то всего анонима с опеннета нанять что бы он написал фитюльку одну. Действительно - как сильно загнил запад.Рекомендую жену свою поучить щи варить. Или тупые американские компании что могут нагрести бабла лопатой, но не хотят.
> Все сетевики воют от квика и просят оборудование для вменяемой работы с этим протоколом. Максимум что получают - дропайте пакеты для того что бы веб-серверы переходили на обычный хттпс. Люди готовы отдавать большие деньги за решение под ключ.Много общаюсь с сетевиками, но "все сетевики воют от quic-а" -- слышу впервые. Может вы в какой-то своей маленькой Вселенной живёте?
Гораздо бОльшие проблемы -- это переход на IPv6 (decommissioning IPv4 в DC), автоматическое исправление неполадок, высоконагруженные DHCP (чтобы справляться с миллионами и десятками миллионов серверов) и т.п.
Большинство проблем с QUIC решаются тупо проксёй. Люди распределяют свои приоритеты исходя из значимости предполагаемого результата. И QUIC сейчас не в приоритете. Но уверяю, если бы у меня, как у инженера, была проблема с фильтрацией QUIC, я бы её решил.
Может кому-то надо расширить свою вселенную, а не считать что у других она маленькая? Кажется я уже объяснил как квик не доставляет проблем - он дропается с концами на пограничном оборудованиии. А где дотягиваются ГПО они рубятся ещё и на рабочем месте. Тогда да, нет проблем. А как только понадобится работать именно с квиком тут и начинается веселье.> Но уверяю, если бы у меня, как у инженера, была проблема с фильтрацией QUIC, я бы её решил.
Я ещё раз предлагаю тебе накидать небольшой бизнес-план и отправить его в топ5 производителей сетевых железок. Или ты альтруист и большие миллионы тебе не нужны?
> Может кому-то надо расширить свою вселенную, а не считать что у других она маленькая?Я и не утверждал ничего категоричного, как "все воют" или "никто не воет". Я знаю об ограниченности своего опыта и знаний. Прошу и вас тоже мыслить так же.
> Или ты альтруист и большие миллионы тебе не нужны?
Это никак не даст мне миллионов. Если вы хотите заключить со мной договор на такую работу и дадите доступ к кодам своих прошивок, я буду рад вам реализовать поддержку QUIC в вашем firewall-е. А так я сейчас работаю над другими проектами для компании, с которой у меня договор.
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?... - сентябрь 2018 про блокировку в браузере квика.
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?... - сентябрь 2018 обновлено в 2020. Про квик с одним только решением - блокировать протокол совсем.
Цисковские слова(не видел что бы что-то поменялось с тех пор):
New Protocols like HTTP/2, TLS 1.3 and QUIC make it hard or even impossible for network devices to scan & detect threats in the network with deep packet inspection (DPI)
We need to change our strategy away from pure DPI and think about:
“What can we do if we cannot decrypt encrypted traffic?”
“How can we still provide security and detect upcoming threats?”И тут один человек с опеннета говорит про заключение договора и реализацию поддержки _без_проблем_.
Даже комментировать нечего с такими вводными.
> И тут один человек с опеннета говорит про заключение договора и реализацию поддержки _без_проблем_.
> Даже комментировать нечего с такими вводными.Вы с реализации какой задачи началась ветка. Она началась вообще не с DPI. Хотя даже определённой степени DPI возможен, но это уже совсем другая история. Поэтому совершенно не понятно при чём тут:
> New Protocols like HTTP/2, TLS 1.3 and QUIC make it hard or even impossible for network devices to scan & detect threats in the network with deep packet inspection (DPI)
А зачем мне нужно то что ты предлагаешь написать за деньг? Если уже сейчас что-то этакое можно сделать используя нбар. Возможно фпм тоже отловит протокол и сделает как мне надо.> Поэтому совершенно не понятно при чём тут:
А это у цискарей узнай. У них решение по работе с квиком вот именно такое - блокируйте. Ну или живите не зная что бегает в ваших сетях и не имея возможности отладить проблемы.
Post P.S.: Конечно же основная нагрузка там ложится на ASIC-и, но всё умное управление делается Linux-ом.Как конкретно firewall они делают -- не спрашивал, но для всего сетевого оборудования используется единая ОС.
s/on/off/
> Контроль за целостностью потока, предотвращающий потерю пакетов;Мы отказались от TCP, чтобы написать свой TCP.
Только без pmtud, congestion control и с гарантированными широчайшими возможностями для DDoS (а возможно и не только, поскольку безопасностью протокола занимались "лучшие специалисты" гугля).
Ты б хоть разделял "майкрософт ещё не допилил" и "нет вообще".
большей части перечисленного - нет вообще. И не будет, потому что из юзерлевела это вообще затруднительно, даже с использованием совершенно уродливых костылей.Да и ненужно - какие вам еще параллельные потоки в канале, пупсик хочет видосик!
(Полагаю, у операторов уже растет спрос на железки, умеющие RED и просто random drop)
>> Контроль за целостностью потока, предотвращающий потерю пакетов;
> Мы отказались от TCP, чтобы написать свой TCP.именно
потому что невозможно обновить или настроить tcp на всех устройствах или хотяб у большинства провайдеровпример внедрения ipv6 до сих пор тянется - ток мобильники его и юзают то
> пример внедрения ipv6 до сих пор тянется - ток мобильники его и юзают тоа точно не потому что он - полное г-но от дизайна до реализации и со всеми промежуточными остановками?
Нет, конечно нет. Это все англичанка гадит. Проклятые луддиты-ретрограды, враги всего нового и прогрессивного.
а в каком месте ipv6 гавно по сравнению с ipv4?
> Проклятые луддиты-ретрограды, враги всего нового и прогрессивного.На тебя посмотришь, и это объяснение уже и не так выглядит теорией заговора.
У него посты такие эмоциональные, что мне кажется, что он просто не успевает за прогрессом, и теряет свою нужность. И в качестве защитной реакции начинает огрызаться.Адаптироваться к новым условиям -- нужно тратить силы и время. Гораздо легче рассказывать всем вокруг, какие они мудаки.
> У него посты такие эмоциональные, что мне кажется, что он просто не
> успевает за прогрессом, и теряет свою нужность. И в качестве защитной
> реакции начинает огрызаться.
> Адаптироваться к новым условиям -- нужно тратить силы и время. Гораздо легче
> рассказывать всем вокруг, какие они мудаки.В общем это так, но гораздо интереснее, поэтому за ним любопытно наблюдать. Любой специалист имеет в своей голове какое-то понимание того, как разделяется ответственность между участниками процесса наладки системы. Скажем, поцтеринговый нотабаг и реакция других на него -- это пример ситуации, когда у разных людей понимание распределения ответственности не совпадает. Поттеринг говорит, это не мои проблемы, но другие тоже не хотят принимать эти проблемы как свои и решать их, и тут начинается cpaч.
Но это случается с любым специалистом. Это позволяет ему заявлять заказчику "сделано как надо, а оставшиеся проблемы -- не наша головная боль". Это правильно, так и должно быть. Но когда окружающий мир меняется, ситуация может меняться -- изменили протокол, пришлось поменять сетевой софт, софт сырой, и вот уже специалист не может настроить сеть так, как надо. А это значит что он не может решить те проблемы, которые он бывало решал раньше. Есть разные способы реагировать на это -- можно ждать когда софт станет лучше, можно велосипедить свой софт, можно костылять что-то админскими методами, или можно обижаться на весь мир. Последний вариант самый дешёвый, в смысле он проще всего. И поскольку многие олдфаги со временем скатываются в это и превращаются в таких обиженок, именно поэтому смена поколений становится необходимой. Не потому, что подрастающие поколения набрали квалификацию выше олдфагов, а потому что олдфаги нашли себе психологически комфортную позицию, которая ни к чему их не обязывает.
Но самое замечательное, что это происходит не только в IT, это случается везде. Почему ОТО и квантмех не были запилены в течение 10-20 лет после того, как Максвелл написал свои уравнения? Да потому, что для создания ОТО и квантмеха надо было начать думать иначе, оторваться от материалистичного представления о мире, в смысле представления о мире, как о чём-то созданном из твёрдых частиц. Надо было выстроить новое представление основанное на уравнениях Максвелла. Но старпёрам это было не нужно -- они были специалистами и без этих сложностей связанных с изменением мышления. Поэтому физике пришлось ждать смены поколений.
Это случается и, например, в бизнесе. Форд создал автомобильный рынок, посредством создания конвеера, на котором он собирал дешёвые автомобили. Но когда подросли конкуренты типа GM, и начали отъедать те части рынка, где котировались автомобили которые не разваливаются на ходу, идеи Форда начали пробуксовывать. И тогда Генри Форд превратился в тормоз для всей компании. Ему говорят поставь гидравлические тормоза, а он говорит "да ну все эти сложности". Его таки отодвинули от ключевых решений, и благодаря этому Форд как компания не загнулся.
Очень удобно быть признанным специалистом в чём-то, очень комфортно психологически, и от этого очень не хочется отказываться. Запал юношества уже пропал, искать новые подходы уже не интересно само по себе, зато ещё интересно блестяще применять старые подходы, и принимать похвалы за отлично выполненную работу. А если что-то работает не идеально, то это не вина специалиста, а чья-то ещё: оборудование надо было покупать лучше или больше, майкрософт с гуглом гадят, или производители железа сволочи, программистов надо было нанимать более квалифицированных или пользователи тупые, не то что было в наше время. И люди залипают в этой ловушке. И превращаются в олдфагов, которые сидят занозой в заднице, и которых хрен объедешь. Правда это временно -- со временем накапливатеся критическая масса хипстеров, которые отправляют олдфагов на пенсию.
А можете привести пример, какие настройки необходимо внести для TCP, на стороне провайдера?
> А можете привести пример, какие настройки необходимо внести для TCP, на стороне
> провайдера?я не сетевик, но, на сколько я понимаю, например, настройки буферизации при передаче пакетов и алгоритмы определения переполнения канала или потерь
в том числе в оборудовании последней мили и юзерских подареных провом роутерах
я когда-то читал в статье про QUIC что не устроило гугл
> я не сетевикНу а что тогда лезешь со своим ценным мнением?
>> я не сетевик
> Ну а что тогда лезешь со своим ценным мнением?...но читал мнение сетевиков
А я тебе и прочим ещё в прошлые разы кидал ссылки на исследования квига. Там самими авторами и тестировщиками было прописано сколько они упарывались для достижения циферок тсп. Но там почему-то не было ответа на вопрос: почему столько научников получали деньги от гугла продолжительное время для допиливания тупого удп до уровня тсп.
записывай, оно и для udp c quic, заодно:policy-map type pbr p_clear-df
class type traffic c_matchall
set ipv4 df 0это для XR
(времена, когда этим альтернативно-одаренным хотелось сделать хорошо - давно прошли)
О да, и в договор вписать подобный бред:
размер мту оставляется на усмотрение клиента, гарантированна работа всех видов трафика (ответственность сетей стороннего оператора должна регулироваться отдельным договором между клиентом и сторонним оператором) при размере мту 1500, при отклонении мту гарантированна доставка 70% передаваемого трафика.
Там же надо дописать о неустойке за каждые 24 часа простоя но не больше 10 рублей в месяц. Но мне лениво.
И с этим договором нагибать клиентов.
А потом ввернуть тарификацию по байтную. Вся прямо к этому и идёт.
Нет, чтобы взять SCTP, придумали какую-то херню в юзерспейсе.
Там 90% профита от того, что оно в юзерспейсе и не надо двадцать лет ждать, пока его запилят, внедрят и включат. И если что-то надо обновить в реализации - то просто выкатываешь новую версию своего приложения(ну или либы), а не ждёшь, пока всякие замшелые пни соберутся наконец уйти с 2.6 или с XP.
именно по этому ms и пилит свой драйвер, eee
Драйвер для больших нагрузок, когда реализация в юзерспейсе будет слишком медленной из-за накладных расходов по общению юзерспейса с ядром. В Linux тоже QUIC придётся добавить в ядро, поскольку серверам критично важно обрабатывать QUIC с минимумом накладных расходов.
я конечно могу ошибаться, но накладные расходы в основном из-за разделения памяти ring0 и ring3, каким образом прикладной протокол который будет передавать данные в приложение сильно быстрее станет я не понимаю. если бы мы просто перекладывали данные из одной железки в другую как делает маршрутизатор вполне понятно откуда ускорение, там вся логика в ядре. Плюс смущает что http в ядре нет и это не мешает.
Один из мала вменяемых комментариев в треде -- и в минусе. Опеннет в своем репертуаре -- клуб имбецилов-любителей FreeBSD. Узкая ниша, но зато уж в ней опеннет впереди планеты всей.
они его специально запилили вместо SCTP и тут не только NIH.Они хотят зашифровать трафик во всём интернете. Google имеет рекламную сеть. Он получает плюшки от продажи рекламы и сбора статистики на серверах и клиентах, а тут всякие мобильные и инернет операторы встрамляют свою рекламу и собирают свою бигдату мимо рекламных сетей и даже мимо гугла.
Провайдеры мало того что пожрали все адреса v4 не спеша ничего обновлять, так они и SCTP не хотят им только подавай:
1. NAT на уровне провайдера с продажей цифр белого IP
2. Тонны незашифрованного HTTP на их проксяки, чтобы можно было изучать народ
3. Тотальная инспекция трафика пользователя с блокировкой неугодного по протоколам (на западе)
4. Шейпинг не на уровне клиента, а на уровне сервера QoS-ами, чтобы проталкивать угодные медиаресурсы и резать неугодные (на западе)
5. Проценка ресурсов, куда ходит клиент по тарифу. "Бесплатные социальные сети" и прочая дискриминация.SCTP требует затрат от производителей провайдерского оборудования на разработку и затрат от провайдеров для внедрения. Как им объяснить зачем надо нести затраты на обновление инфраструктуры и повышение безопасности и конфиденциальности (против провайдера, но не сайтов). Пчелы против мёда? Провайдеры не дураки.
Вот им и подложили утку в виде QUIC. Оно поверх UDP и шифрованное. Quic - старый протокол он уже с 2013-го известен и в нем уже 35% мобильного трафика. Очухались поздно.Теперь провайдеры сами попросят новые фаерволы и DPI чтобы хоть что-тоделать с QUIC, а там им продадут радостно с поддержкой ipv6. Google тут всех имеет и раз MS не объявил бойкот, как с SCTP в своё время, то они либо стали сy4ками Google по вопросам вебни и мобилок, либо тупо в доле.
Какого еще обновления оборудования? В том же 2013 году был принят RFC 6951 UDP Encapsulation of Stream Control Transmission Protocol (SCTP) Packets for End-Host to End-Host Communication - специально для того, чтоб пакеты могли проходить через NAT и другое старое оборудование без нужды его обновления.
перестал читать после msquic.sys. этих баранов уже ничему не начить
Что-то не так с именем? Но если читать внимательно, то имя-то они как раз сменили, и теперь это не msquic.sys, а msquic.exe.
вангую новое поколение amplification dudos
Kill It With Fire
Why?