| |
| 2.18, L10N (ok), 11:45, 14/08/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Уязвимость не в протоколе, а в реализациях. Читайте внимательно :)
| | |
| |
| 3.37, Филя (?), 13:50, 14/08/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
А реализации кто-нибудь стандаризирует? Апачи Фаундейшен скажем. FIPS стандартизирует openssl для гос. сектора например, фстэк у вовы какие-то сетевые устройства перед использованием в гос. секторе и тп, в белоруссии вот ОАЦ есть, тоже этим занимаются. Мб знаете, не?
| | |
| |
| 4.49, L10N (ok), 14:45, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Реализации могут сертифицировать. Например, есть ГОСТы по алгоритмам шифрования. Типа там "Кузнечик", "Магма". А когда кто-то их реализует в своих продуктах, то ФСБ потом может сертифицировать для применения в госсекторе. Но в общем случае стандартизуется протокол/алгоритм, а вот реализовывать можно по-разному.
| | |
|
| 3.54, Аноним (54), 14:58, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Выходы за границы буфера тоже не в спецификации, а в реализации. Думай.
| | |
| |
| 4.57, L10N (ok), 15:05, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да, в реализации. И что? От этого уязвимости не в реализации, а в том, что реализуется? :)
| | |
| |
| 5.76, Аноним (76), 21:33, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Что нормальный протокол и нормальный безопасный язык нельзя уязвимо реализовать.
| | |
| |
| 6.82, L10N (ok), 22:32, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это априори неверный тезис. Представьте себе простейший протокол (хоть вырожденный донельзя) и подумайте, сколькими способами можно его испортить плохой реализацией.
| | |
|
|
|
| |
| 4.79, L10N (ok), 22:26, 14/08/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да, впрямую говорить об обратной совместимости нельзя. Скорее речь о концепциях, более привычных большинству. Замечание резонное.
| | |
| |
| 5.83, 12yoexpert (ok), 00:18, 15/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
 при чём тут обратная совместимость, концепция или привычки? попробуй подумать ещё
| | |
|
|
|
| 2.19, Аноним (19), 11:45, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну так скажи спасибо Гуглу за это. На моей памяти несколько разрабов, связанных с реализацией HTTP, просто на мат переходили, когда речь заходила о HTTP/2.
| | |
| |
| |
| |
| 5.52, L10N (ok), 14:51, 14/08/2025 [^] [^^] [^^^] [ответить]
| –3 +/– |
А что там принципиально такого, что невозможно осилить? Протокол как протокол. Конкретно этот не осиливал, а когда в системной аналитике работал по сетевой безопасности, читал различные RFC в оригинале без словаря. И понимал, что там написано, ибо в разрабатываемом файерволле их поддержка реализовывалась. Ну, да, современные протоколы могут быть более сложными, чем более ранние. Но принципиально-то что изменилось? Есть спецификация протокола, ей можно следовать. Не бином Ньютона.
| | |
| |
| 6.53, Анонирм (?), 14:54, 14/08/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Конкретно этот не осиливал
Вот когда осилите, тогда и приходите с критикой. А то получается что реальные разработчики были не в восторге, а вы их безосновательно критикуете, якобы не осилили. С себя начните.
| | |
| |
| 7.56, L10N (ok), 15:04, 14/08/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну, одни осиливают, другие не осиливают. Я думал, вы напишете, что конкретно этот протокол отличает от других. А вы пытаетесь оценивать меня. Конечно, HTTP/2 сложнее HTTP. Понятно, почему. Посмотрите, сколько лет прогресса между ними.
| | |
| |
| |
| 9.63, L10N (ok), 17:17, 14/08/2025 [^] [^^] [^^^] [ответить] | +/– | Это был неявный вопрос о том, а на что именно ругались Может, что-то неудобно и... текст свёрнут, показать | | |
|
| 8.70, Аноним (70), 19:10, 14/08/2025 [^] [^^] [^^^] [ответить] | +/– | HTTP 2 был создан с одной единственной целью - помочь CDN-кам разрулить по сути ... текст свёрнут, показать | | |
|
| 7.62, L10N (ok), 17:14, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
:)) Посмотрел, кто разработал RFC по HTTP/2. M. Thomson, Ed., Mozilla, C. Benfield, Ed., Apple Inc.
| | |
|
| 6.65, nuclight (??), 17:37, 14/08/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Принциипальные там архитектурные проблемы - в данном случае, вместо постоянно открытых потоков, по каждому из которых можно несколько запросов (аналоги отдельных TCP, как в SCTP собсно и сделали), они постоянно открывают и закрывают новые потоки. Эту же херь унаследовали в QUIC. Наличие спецификации и даже её осиливания еще вовсе не означает, что она хорошая.
(Читать RFC без словаря нынче суперскилл? ОК, так я их тогда пишу без словаря...)
| | |
| |
| 7.67, L10N (ok), 18:07, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Спасибо, так понятнее.
>они постоянно открывают и закрывают новые потоки
Это некоторый архитектурный компромисс для обратной совместимости и на основе анализа частоты use cases. Скорее, оптимизация для масс. В целом выбор верный, но в некоторых сценариях это неэффективно. Частично было решено в HTTP/3. Значит, в вашем случае разрабатывалось что-то, где это имеет значение, например, сильно влияет на производительность. Т.е. это не архитектурная проблема, а что-то вроде "не все вписались в рынок".
>(Читать RFC без словаря нынче суперскилл? ОК, так я их тогда пишу без словаря...)
Да нет, просто сказал, что была работа, связанная с изучением RFC-шек. Просто чтобы показать, что можно пообщаться на одном примерно языке. Респект за работу :)
| | |
| |
| 8.71, Аноним (70), 19:15, 14/08/2025 [^] [^^] [^^^] [ответить] | +/– | У HTTP 2 нету обратной совместимости - это отдельный от HTTP 1 протокол По сути... текст свёрнут, показать | | |
| |
| 9.81, L10N (ok), 22:30, 14/08/2025 [^] [^^] [^^^] [ответить] | +/– | Во многом да, но почему-то не все реализации подвержены этой проблеме Т е это ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.60, Аноним (60), 16:14, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> несколько разрабов […] просто на мат переходили
Ну это проблемы с воспитанием тех разрабов. А своё-то мнение у тебя есть? Или тебе его матюки очередного быдла заменяют?
| | |
| |
| 4.85, Аноним (85), 00:46, 15/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Ну это проблемы с воспитание
> очередного быдла
Я бы сказал, воспитанием в данном сообщении вообще даже не пахнет. Псевдоинтеллигенция...
| | |
|
| 3.61, Аноним (-), 16:33, 14/08/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну так скажи спасибо Гуглу за это.
Спасибо гугл! Без тебя бы сидели в пещерах))
> На моей памяти несколько разрабов, связанных с реализацией HTTP, просто на мат переходили, когда речь заходила о HTTP/2.
О, я помню дед матюкался, когда ему показали машину с автоматом.
Типа понавыдумаыли ***ни, вот на Волге - коробас нормальный, а этот что? даже в гараже не починишь.
А потом начал задвигать, что Настоящий Водитель умеет тормозить прерывисто и эти ваши АБС для лопухов.
| | |
|
|
| 1.34, Аноним (34), 13:28, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Статус наличия уязвимости в nginx не определён.
Так определяйте. Это самый популярный сервер в интернете, на минуту, а они про какой-то сраный апач пишут.
| | |
| |
| 2.36, Аноним (36), 13:49, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>HAProxy проблеме не подвержен
Ключевые слова. А что там на бэкэнде используется значения не имеет.
| | |
| |
| 3.72, Аноним (70), 19:17, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да здравствуют Desync-атаки на "да пофигу что там за HTTP/1.1 сервер на бэкенде"!
| | |
|
|
| 1.38, Аноним (38), 13:50, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish
Все какие-то "решения" серверов приложений. Настоящие серверы хттп не подвержены.
>во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться
Позорище, конечно. Ну ничего - в корпоративной разработке стыд испытывать некому.
| | |
| |
| 2.58, Аноним (58), 15:17, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Что в очередной раз подтверждает: не надо любые сервера приложений голой ж... в интернет выставлять. И реализация HTTP/2 в них не нужна, для связи с реверс-прокси этот протокол бесполезен.
| | |
|
| 1.41, Буквально (?), 14:06, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
"Мы хотим избавиться от задержек и сделаем протокол с обработкой запроса сразу по приходу первого же пакета".
Что же могло пойти не так?
| | |
| |
| 2.43, Аноним (28), 14:25, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
w3techs после новостей показал увеличение доли http/3 - что как бы намекает .
| | |
| 2.55, Аноним (54), 14:59, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Куча приложений что рассчитывают на уязвимое поведение поломаются.
| | |
| 2.73, Аноним (70), 19:19, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Туда-же "TCP с TLS переоткрывать дорого, ща мы в один поток кучу сообщений запихаем".
| | |
| 2.74, Oe (?), 19:20, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– |
Нужно срочно экономить количество запросов, а то лишние 10 килобайт трафика жалко. И плевать, что каждый день радовой обладатель смартфона выкачивает терабайт обновлений из гугл плей.
| | |
| |
| 3.75, Аноним (75), 20:37, 14/08/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> каждый день радовой обладатель смартфона выкачивает
ничо он не выкачивает, интернет выключен.
| | |
|
|
| 1.89, Аноним (89), 01:47, 15/08/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
network.http.http2.enabled -> false
Давно так сделал и всем советую, HTTP2 мертворождённый SPDY.
| | |
|
