Исходное сообщение
"В ночных и бета сборках Firefox включена по умолчанию поддер..." Отправлено Аноним, 21-Мрт-21 22:12
> Зассанный казачёк от Гугл или просто идиот? Тот кто поигрался с HTTP, ws и издевательствами над ними на низком уровне, а также и потестивший всякие странные приколы. Пойдет? :) > Slowloris и прочие атаки возможны только на коряво настроенном сервере. ЧСХ на момент его появления такими были чуть более чем все. А наименее корявым - IIS (фэйспалм!) Кроме того - вот именно хорошего фикса slowloris'а не существует в природе. Попытка фикса либо будет гасить юзеров на медленных и перегруженных каналах, либо у слоупока дочерта времени слоупочить, занимая на себя ресурсы. > На нормальном сервере (последний nginx с дефолтными настройками) таймауты и > прочие ограничения такого сделать просто не дадут, а если кто-то попытается, то в > логах этот вредитель быстро будет замечен и забанен. Блажен кто верует. Во первых, так можно забанить и юзеров на протормозившем линке. Во вторых, при именно атаке сие можно и распределенно прилунить. В третьих он все-равно достаточно эффективный, я проверял, создать проблемы серваку - реально. > WebSockets монструозен, по сравнению с SSE, на котором и чатики и всё > остальное, включая обновления страницы в реальном времени без перезагрузки, можно гораздо > легче и эффективнее организовать. Я не знаю кому там и что "легче" но выглядит это как попытка натянуть сову на глобус. А ws таки может быть совершенно отдельный канал, не имеющий ничерта общего с HTTP и его протоколом после его подъема, по поводу чего там может гулять эффективный task-specific протокол, вообще никак не завязаный на HTTP и ближе всего это, натурально, к сетевому сокету. И я не вижу ничерта сложного с подъемом ws, это и в js делается парой строк, да и на стороне сервера не сильно сложнее. В lwan examples этого есть и назвать все это сложным - глум над здравым смыслом. > Шли бы Вы со своим Иваном и прочими гулоботами отсюда нафиг! Каким еще иваном? И вообще, я к гуглу прохладно отношусь, что не мешает считать вебсокет довольно удобным и простым для периодического апдейта каких-то данных или околореалтаймных штук типа чатиков. А кучка легаси и вебмакакинга в протоколе - ну да, но тупняков и в HTTP есть. Черт, мы даже не знаем размер хидеров заранее, как минимум в HTTP/1.x точно. И поэтому даже не можем сразу отлупить заведомо офигевшего клиента (типа slowloris'а) - только дурацкой эмпирикой выезжать, которая неуниверсальна и косит легитимных юзерей под шумок, виноватых тем что в каком-нибудь поезде ехали и линк тупил.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Зассанный казачёк от Гугл или просто идиот? > Тот кто поигрался с HTTP, ws и издевательствами над ними на низком > уровне, а также и потестивший всякие странные приколы. Пойдет? :) >> Slowloris и прочие атаки возможны только на коряво настроенном сервере. > ЧСХ на момент его появления такими были чуть более чем все. А > наименее корявым - IIS (фэйспалм!) > Кроме того - вот именно хорошего фикса slowloris'а не существует в природе. > Попытка фикса либо будет гасить юзеров на медленных и перегруженных каналах, > либо у слоупока дочерта времени слоупочить, занимая на себя ресурсы. >> На нормальном сервере (последний nginx с дефолтными настройками) таймауты и >> прочие ограничения такого сделать просто не дадут, а если кто-то попытается, то в >> логах этот вредитель быстро будет замечен и забанен. > Блажен кто верует. Во первых, так можно забанить и юзеров на протормозившем > линке. Во вторых, при именно атаке сие можно и распределенно прилунить. > В третьих он все-равно достаточно эффективный, я проверял, создать проблемы серваку > - реально. >> WebSockets монструозен, по сравнению с SSE, на котором и чатики и всё >> остальное, включая обновления страницы в реальном времени без перезагрузки, можно гораздо >> легче и эффективнее организовать. > Я не знаю кому там и что "легче" но выглядит это как > попытка натянуть сову на глобус. А ws таки может быть совершенно > отдельный канал, не имеющий ничерта общего с HTTP и его протоколом > после его подъема, по поводу чего там может гулять эффективный task-specific > протокол, вообще никак не завязаный на HTTP и ближе всего это, > натурально, к сетевому сокету. И я не вижу ничерта сложного с > подъемом ws, это и в js делается парой строк, да и > на стороне сервера не сильно сложнее. В lwan examples этого есть > и назвать все это сложным - глум над здравым смыслом. >> Шли бы Вы со своим Иваном и прочими гулоботами отсюда нафиг! > Каким еще иваном? И вообще, я к гуглу прохладно отношусь, что не > мешает считать вебсокет довольно удобным и простым для периодического апдейта каких-то > данных или околореалтаймных штук типа чатиков. А кучка легаси и вебмакакинга > в протоколе - ну да, но тупняков и в HTTP есть. > Черт, мы даже не знаем размер хидеров заранее, как минимум в > HTTP/1.x точно. И поэтому даже не можем сразу отлупить заведомо офигевшего > клиента (типа slowloris'а) - только дурацкой эмпирикой выезжать, которая неуниверсальна > и косит легитимных юзерей под шумок, виноватых тем что в каком-нибудь > поезде ехали и линк тупил.
	Введите код, изображенный на картинке: