Messaging Layer Security принят в качестве стандарта RFC

Сам придумал, сам посмеялся

Слушай, ну а вот как мне ещё объяснить твою религиозную убеждённость в том, что СУБД – это быстро и производительно? Откуда они должны брать эту свою быстроту и производительность? Или ты думаешь, что авторы СУБД умные настолько, что от одного факта установки их поделий на комп тут же на этом компе диски начинают крутиться вдвое быстрее, шины становятся вдвое шире, а вся оперативная память сама собой превращается в ассоциативную? Ну вот как ещё эту ахинею объяснить, если не верой в гномиков? Ну то есть не обязательно, конечно, именно в гномиков, но суть-то как раз такова.

Его с тех пор переписали много раз.

Ага, только менее падучим он с тех пор не стал, информация, есличо, от тех, кто этот «продукт» прямо сейчас пасёт за деньги. И у меня нет оснований им не верить.

Впрочем, падучесть базёнки, какую бы мы базёнку ни взяли – это только один из шести пунктов. По остальным есть что сказать? Мне вообще любого из оставшихся пяти было бы вполне достаточно – одного. Ну то есть даже если бы авторы postgresql внезапно сделали его надёжным как шар из чугуна, это бы в целом ничего не изменило.

Слушай, ну а вот как мне ещё объяснить твою религиозную убеждённость в том, что СУБД – это быстро и производительно?

Опять свои мокрые фантазии проецируешь? Я тут всего лишь заявил, что постгрес будет быстрее твоего говнокода. А не что постгрес быстрее всех на свете.

Ага, только менее падучим он с тех пор не стал, информация, есличо, от тех, кто этот «продукт» прямо сейчас пасёт за деньги. И у меня нет оснований им не верить.

Конечно нету. Зато у меня есть основания не верить тебе, потому что ты тот ещё шизофреник. Кстати, у меня пострес не падает почему-то. Ей богу, мне уже даже интересно, какой ты именно говнокод сделал, чтобы от банальной CMS постгрес начал вешаться.

Впрочем, падучесть базёнки, какую бы мы базёнку ни взяли – это только один из шести пунктов. По остальным есть что сказать? Мне вообще любого из оставшихся пяти было бы вполне достаточно – одного. Ну то есть даже если бы авторы postgresql внезапно сделали его надёжным как шар из чугуна, это бы в целом ничего не изменило.

Ну мы все знаем что PG надежен как шар из чугуна просто потому, что на PG работает половина современной инфраструктуры. Банки, аэропорты, вокзалы, кофейни, заправки, больницы и даже поисковые сайты, через которые люди ищут твоей бложек, работают на PG.

А твой бложек сто пудово содержит сотни глупых сишных багов и позволяет remote code execution.

Банки, аэропорты, вокзалы, кофейни, заправки, больницы и даже поисковые сайты, через которые люди ищут твоей бложек, работают на PG

Если где-то есть больница, в которой на PG что-то сложнее бухгалтерии, то начальство этой больницы должно сидеть в тюрьме, поскольку на life-critical никто PG не сертифицировал. Всё остальное может быть хоть на чёрте лысом, это никак не отменяет того, что рядом с основным серваком PG всегда есть второй, с репликой базы, чтобы когда первый упадёт, второй занял его место. На хостинге сайта, который посещает три человека в день, мне такого счастья не надо.

Впрочем, из распространённости решения его надёжность не только что не следует, а корелляции вообще прослеживаются строго обратные: на форточках вон вообще работает по меньшей мере девять компьютеров из десяти, расскажи мне теперь про надёжность форточек.

А твой бложек сто пудово содержит сотни глупых сишных багов и позволяет remote code execution.

Да неужели? А ты их эксплойтить умеешь? Ну пойди поэксплойть, я вон даже исходники выложил, развлекайся. Когда надоест – скажешь. А то п%%деть – не мешки ворочать.

потому что ты тот ещё шизофреник

ага, понятно. свободен. в смысле в игнор.

Впрочем, из распространённости решения его надёжность не только что не следует, а корелляции вообще прослеживаются строго обратные: на форточках вон вообще работает по меньшей мере девять компьютеров из десяти, расскажи мне теперь про надёжность форточек.

Ну раз на них люди работают, значит надежные?

Да неужели? А ты их эксплойтить умеешь? Ну пойди поэксплойть, я вон даже исходники выложил, развлекайся. Когда надоест – скажешь. А то п%%деть – не мешки ворочать.

Бгг. Просто открываем случайный файл и видим memory leak:

    CommentNode *node = new CommentNode;
    node->id = id;
    node->parent = -1;

    FILE *s = fopen(path, "r");
    if(!s)
        return;

С твоими «способностями» программиста я прогнозирую ещё кучу подобного, особенно с учетом того, что вместо буферов ты используешь сишные массивы :D

ага, понятно. свободен. в смысле в игнор.

Ох нет! Как же я теперь жить буду! Я в игноре у ведущих шизофреников и говнокодеров ЛОРа :(

ага, понятно. свободен. в смысле в игнор.

Очень нелепо выглядит когда человек, заявляющий что-то про отправку в тюрьмы и расстрелы закрывает глазки руками и кричит «ляляля я вас не вижу».

memory leak:

и что? ты только что рассказывал про remote code execution, ну так вот давай, выкладывай на бочку этот самый execution. Текущая память сама по себе ни к каким эксплойтабельным дырам не приводит. Хотя, конечно, это не повод позволять памяти течь, пойду погоняю valgrind на досуге, но это уже к делу не относится.

Вот чёрт, упустил самое интересное

Ну раз на них люди работают, значит надежные?

кто, форточки надёжные? это что, шутка такая? или надо объяснять, по какой причине в действительности «люди» работают с форточками, и какие именно это люди?

закрывает глазки руками

Ты мне что, предлагаешь продолжать какое-то общение с куском дерьма, которое, не имея что сказать по делу, заявило, что я шизофреник? У тебя какие-то странные представления о нормах общения.

Вообще в дискуссии невозможно (никогда) убедить в чём бы то ни было оппонента, только публику. Ну так вот вменяемому стороннему наблюдателю после фразы «ты шизофреник», как, впрочем, и после фразы «ты дурак», должно быть всё понятно. А мнение невменяемых меня не интересует. Поэтому там да, аудиенция окончена. С тобой она, впрочем, судя по всему, тоже долго не продлится.

Кисо обиделось :DDDDDD

и что? ты только что рассказывал про remote code execution, ну так вот давай, выкладывай на бочку этот самый execution. Текущая память сама по себе ни к каким эксплойтабельным дырам не приводит. Хотя, конечно, это не повод позволять памяти течь, пойду погоняю valgrind на досуге, но это уже к делу не относится.

Я рассказывал что качество кода по ссылке оставляет желать лучшего и я на 100% уверен что там полно проблем с памятью, и убежден что там есть RCE. Анализировать все 50 тысяч строк (а судя по беглому репорту анализатора проблемы есть и в lib/) я не хочу :)

кто, форточки надёжные? это что, шутка такая? или надо объяснять, по какой причине в действительности «люди» работают с форточками, и какие именно это люди?

Как минимум люди, которые платят тебе зарплату. Или ты их не считаешь за людей? :)

Ты мне что, предлагаешь продолжать какое-то общение с куском дерьма, которое, не имея что сказать по делу, заявило, что я шизофреник? У тебя какие-то странные представления о нормах общения.

Ты буквально предлагаешь сажать людей, убивать людей, говоришь что пользователи GitHub говноеды, но обижаешься когда тебя называют шизофреником?

Вообще в дискуссии невозможно (никогда) убедить в чём бы то ни было оппонента

МГУ, дамы и господа, во всей своей красе.

Как минимум люди, которые платят тебе зарплату.

Ни один форточник не платит мне зарплату и, насколько я могу судить, никогда не платил. Засим всё, ты безнадёжен, а моё время не бесконечно.

Ни один форточник не платит мне зарплату и, насколько я могу судить, никогда не платил. Засим всё, ты безнадёжен, а моё время не бесконечно.

Руководство МГУ разных уровней вложенности пользуется виндой и макосью. Инфа сотка.

Слушай, ну а вот как мне ещё объяснить твою религиозную убеждённость в том, что СУБД – это быстро и производительно? Откуда они должны брать эту свою быстроту и производительность?

Конечный продукт складывается их скорости разработки, стоимости разработки, скорости и стоимости внесения изменений и поддержки, надёжности и так далее. Скорость и производительность – ничтожный аспект для большинства проектов. Просто потому доработка будет дороже, чем аренда сервера.

Простыми словами продукт использующий SQL намного более дешёвый и живучий на временном отрезке, чем что бы то ни было самописное. Просто потому что всегда можно найти разработчика, знающего SQL. И миграция в SQL не выглядит как переписывание всего приложения с необходимостью всесторонне его тестировать, как правило.

В реальном мире микросервисы на Пайтоне и Ноде работают в том числе и в банковской сфере. Пока кто-то пишет свой сверхпроизводительный код (устаревающий с каждым годом написания, не выходя в промышленную эксплуатацию), приложения не такие быстрые рождаются, умирают, и перерождаются в нечто большее, если в том есть необходимость.

Простыми словами, задачу ставит дело (бизнес, если угодно). И исходить имеет смысл именно из этого. Потому что приложение – средство, а не цель.

На самом деле, он в каком-то смысле прав. Если бы у него страница с комментами условно генерилась бы один раз и чанковалась тупо по смещению, это реально было бы быстрее.

Проблема гения программирования в том, что его поделка перечитывает всю иерархию директорий КАЖДЫЙ МАТЬ ЕГО РАЗ НА КАЖДОМ МАТЬ ЕГО GET РЕКВЕСТЕ. Поэтому вместо пары сотен наносекунд, которые потребовались бы той же sqlite чтобы отдать все дерево комментов, загрузка html странички размером 4k занимает 300ms.

То есть, ещё раз: на каждый запрос GET создается отдельная программа, которая каждый раз парсит файлы, каждый раз строит дерево комментов, каждый раз его рендерит.

А самое смешное в том, что есть undeadly.org. Он тоже написан упоротыми опенбсдшниками на C и вроде даже без базы данных, только работает гораздо быстрее. Потому что упоротые опенбсдшники, внезапно, умеют писать на C.

Вот, зацени:

$ /usr/bin/time -p curl -o /tmp/stolyarov -sLX GET 'http://stolyarov.info/node/402' 2>&1
real 0.27
user 0.00
sys 0.00
$ /usr/bin/time -p curl -o /tmp/undeadly -sLX GET 'http://undeadly.org/cgi?action=article;sid=20230704094238'
real 0.18
user 0.00
sys 0.00
$ du -b /tmp/stolyarov /tmp/undeadly
4498	/tmp/stolyarov
18599	/tmp/undeadly

Читать директории на каждом реквесте (если это правда) – это конечно эпично.

А миллисекунды не показательны, хотя в отсутствие других тестов хоть что-то. Вот тут несколько сотен результатов https://www.techempower.com/benchmarks/#section=data-r21 – правда насчет методики тестирования ничего не скажу.

Это cgi, там по-другому никак. На самом деле я конечно кекаю и рофлю, потому что по большому счету для сайта с десятком тысяч человек в целом абсолютно наплевать чем ты будешь генерировать ответы, если у тебя настроено кеширование.

Вот, зацени

оценивать софт, измеряя пинги до серверов - моё почтение

оценивать софт, измеряя пинги до серверов - моё почтение

RTT до его глагне меньше примерно в два раза. Что-то мне подсказывает, что дело тут не в пингах :D

RTT до его глагне меньше примерно в два раза

А от меня наоборот, до undeadly.org быстрее, больше, чем в 2 раза
Ну и вообще это всё фигня, очевидно, пока неизвестны другие параметры серверов, нагрузка в данный момент. Вот если бы ты локально поднял на одной и той же машине одну CMS и другую, тогда можно было бы говорить про какое-то сравнение

задачу ставит дело

Именно. В данном случае дело лично моё: мне в силу определённых причин нужно (а) поддерживать несколько cлабонагруженных сайтов, (б) с минимальными трудо- и деньгозатратами и (в) чтоб там не было никаких следов «современных веб-технологий». Ничего сколько-нибудь подходящего я ещё семь лет назад (см. Подскажите CMSку моей мечты) не нашёл, даже прибегнув к «помощи зала».

Написав собственную поделку, я ещё заодно решил исходно не ставившуюся задачу по вытаскиванию сайта, просуществовавшего 14 лет, из той задницы, в которой тот сайт оказался из-за дебильности практически всего софта, который в обслуживании того сайта был задействован.

Потому что приложение – средство, а не цель.

Кто б спорил. Таласса - средство, а цель, например, в том, чтобы (1) развёртывание инфраструктуры на новом сервере (а с VPSки на VPSку приходится мигрировать, никуда не денешься) занимало меньше минуты (залить архив - пять секунд, раскрыть архив - ещё столько же, включая наколачивание команды, и чтобы оно собралось - ну, команда make и семь-восемь секунд подождать, ну потом туда ещё склонировать git-реп с исходниками сайтов и прогнать саму талассу для каждого из сайтов; наибольшее количество времени уходит на редактирование конфигов апача и правку DNS-зон, но от этого в любом случае не денешься никуда); (2) чтобы в ходе обычной работы сайтов о них можно было вообще не вспоминать (субд регулярно падают, но вот чтобы апач упал сам собой - я такого не припоминаю за всю свою практику); (3) и чтобы инфраструктура не стоила примерно ничего (я за ту VPSку плачу что-то около 16 баксов в год, ибо low-end).

Мораль: с точки зрения дела thalassa идеальна.

его поделка перечитывает всю иерархию директорий КАЖДЫЙ МАТЬ ЕГО РАЗ НА КАЖДОМ МАТЬ ЕГО GET РЕКВЕСТЕ

Мне даже интересно, с какого дуба нужно спикировать вниз башкой и какое должно быть покрытие горизонтальной поверхности под этим дубом, чтобы что-то подобное заподозрить.

На всякий случай: всё, что есть на том же stolyarov.info и не имеет ``thalcgi.cgi'' в локальном пути, отдаётся в виде статических HTML-файлов. Ну, в смысле апач их видит в таком виде и понятия не имеет, откуда они взялись. Сама thalassa их только генерит, причём либо будучи запущенной вручную (например, для (пере)генерации новых или изменённых страниц, которые в нынешней версии нельзя добавить или изменить через web-интерфейс, только путём добавления файлов в дерево исходников сайта), либо будучи запущенной тем самым thalcgi.cgi для перегенерации страницы, на которой только что был добавлен, изменён или удалён коммент (перегенерируется только эта страница, и только после указанных событий, к GET-запросам это не имеет отношения от слова совсем).

http://stolyarov.info/node/402

Не поверишь:

w_croco@milda:~/public_html/stinfo$ ls -l node/402/

total 48

-rw-r–r– 1 w_croco webadm 48268 Sep 5 19:57 index.html

w_croco@milda:~/public_html/stinfo$

Уже не помню, за каким фигом я 5 сентября сайт перегенерил, вроде после апдейта конфигов, отвечающих за оформление страничек. Короче, иди теперь расскажи авторам апача, как они программировать не умеют.

Это cgi, там по-другому никак.

Ага, конечно. Это в мозгах у тебя по-другому никак, судя по всему.

Читать директории на каждом реквесте (если это правда) – это конечно эпично.

А миллисекунды не показательны

Вот уж точно миллисекунды не показательны, ибо если бы всё было так, как пригрезилось кумвилану, то там бы счёт шёл отнюдь не на миллисекунды. Полная перегенерация того же stolyarov.info занимает около пяти секунд. Только она нафиг не нужна, я её иногда проделываю, просто чтобы в командной строке не указывать нужные странички — пока я их номера буду вспоминать, там те пять секунд уже пройдут.

На всякий случай: всё, что есть на том же stolyarov.info и не имеет ``thalcgi.cgi'' в локальном пути, отдаётся в виде статических HTML-файлов. Ну, в смысле апач их видит в таком виде и понятия не имеет, откуда они взялись.

То есть ты изобрел http кеш. ПОХВАЛЬНО.

То есть ты изобрел http кеш.

Только в твоих протухших мозгах, начисто разъеденных уЁбдезигном, сие могло вызвать какие-то ассоциации с http caching. В действительности я здесь вообще ничего не изобрёл, статический контент существовал за десятки лет до того, как поганые обезьяны принялись превращать веб в ту кучу дерьма, каковой он сейчас является.

Я тебе больше скажу, генераторов статического контента тоже существуют десятки, если не сотни, даже здесь ничего нового. Thalassa от них отличается всего двумя вещами: во-первых, в ней кроме собственно генератора предусмотрен ещё CGIник, отвечающий за комментарии, а сама она поддерживает генерацию страниц с комментариями, каждый из которых живёт в отдельном файле, облегчая работу CGIнику; тогда как сайты, поддерживаемые другими генераторами, либо вовсе не предусматривают комментариев, либо предлагают аутсорсить их на всякое дерьмо вроде дискусса. А во-вторых, Thalassa ни от чего внешнего не зависит ни в компайле, ни в рантайме, в крайнем случае её можно залить на сервер в виде двух статически слинкованных бинарников, тогда как другие генераторы слеплены на всякой дряни вроде питона, руби, перла и прочего интерпретируемого говна, создатели (высиратели) коего, кроме всего прочего, никогда не слышали про обратную совместимость, так что ЭТИ внешние зависимости превращают поддержку софта в непрерывную русскую рулетку.

Короче, это вот всё были комментарии для публики, а для тебя самого мне, пожалуй, и сказать нечего: твоим мозгам уже ничего не поможет, такая степень распада, подозреваю, необратима.

\>\>\> Это?

Только в твоих протухших мозгах, начисто разъеденных уЁбдезигном, сие могло вызвать какие-то ассоциации с http caching. В действительности я здесь вообще ничего не изобрёл, статический контент существовал за десятки лет до того, как поганые обезьяны принялись превращать веб в ту кучу дерьма, каковой он сейчас является.

Кучей дерьма он является только в твоих протухших мозгах. Додуматься статически генерировать страницы с комментариями мог только очень дремучий сишный пердоля. Прикинь, один твой пользователь в одной таймзоне, а другой – в другой! Ты им будешь два сайта генерировать? :))

Я тебе больше скажу, генераторов статического контента тоже существуют десятки, если не сотни, даже здесь ничего нового.

Ага. Более того, многие даже вполне неплохо прикручивают к ним комментарии. Только вот никто не генерирует эти комменатрии статически D:

У тебя какие-то странные представления о нормах общения.

как существование таких говноедов вообще выносит ноосфера.

А проблемы кривых шрифтов (как и негров) шерифа не е… нутыпонял.

поголовно все пользователи гитхаба – буйнопомешанные психи

Ну и в-третьих, какие же это люди, когда это говноеды.

Комментировать – только портить 😊

Прикинь, один твой пользователь в одной таймзоне, а другой – в другой! Ты им будешь два сайта генерировать?

Нет, я время покажу в UTC. Собственно, там так и сделано. Либо, если уж очень хочется, покажу некое «время сайта» (сейчас, кстати, не поддерживается, потому что чтобы это поддержать адекватно, нужна собственная версия функций работы со временем – можно выдрать из какого-нибудь musl и адаптировать, но мне пока лень).

А вот придумать генерить каждую страницу на каждый GET-запрос, даже если информация на странице меняется раз в год, могли только дебилы, каковыми все «современные» вебщики, собственно, и являются.

Я, впрочем, тоже хорош – послать-то этого кумвилана послал, а в игнор добавить забыл. Старость не радость. Ну, исправляюсь, чо.

За это мы Croco и любим :D

Во-первых, все, кто пользуются гитхабом, гитлабом и прочими вебдванольными репохостингами – говноеды.

А чем же посоветуете пользоваться (из практических соображений исключетельно спрашиваю)?

Не, ну что текст RFC совершенно нечитаем

По стилю похоже на спецификации SSL/TLS. Вроде они тоже в rfc были и даже до 4 тысяи, но автор не Постел.

Ну, база, индивидуально разработанная под задачу, конечно будет быстрее чем всякие SQL. Но у SQL есть два важных плюса:

1) базу на SQL в разы проще не только разрабатывать (это ладно), но и, что намного важнее, дорабатывать/переделывать;

2) база на SQL это автоматически готовый, универсальный интерфейс к чтению и модификации базы сторонними инструментами, а к своей индивидуальной базе для каждого случая опять придётся делать заново.

Обычно (хоть и не в 100 процентах, но думаю не меньше чем в 90) эти два плюса объективно перевешивают.

Ну, база, индивидуально разработанная под задачу, конечно будет быстрее чем всякие SQL

Это в идеальном сферическом случае в вакууме, при условии компетентного разработчика, у которого неограничено много времени и который знает что делает. Поэтому в 95% случаев самописная база оказывается полном говном, что мы и наблюдаем в случае нашего любимого Croco.

Это в идеальном сферическом случае в вакууме, при условии компетентного разработчика, у которого неограничено много времени и который знает что делает.

Мне казалось это следует из того что я в первом пункте написал.

Когда у тебя в руках есть только молоток, тогда все вокруг превращается в гвозди

кто, форточки надёжные? это что, шутка такая?

С технической точки зрения, что не так с надежностью у NT-линейки форточек? Линукс у них в этом смысле может выигрывать за счет возможности минимизации конфигурации. В частности, обходиться без гуя, который на серверах обычно не нужен. Так вин-серверы с какой-то версии тоже могут без гуя быть.

То, что MS держит обычных юзеров за г-но и пихает в юзерскую винду трудноотключаемые обновления, зонды, телеметрию, просто всякий шлак и чем далее, тем более наглеет - это уже не к надежности в техническом смысле.

или надо объяснять, по какой причине в действительности «люди» работают с форточками, и какие именно это люди?

Обычные люди работают с форточками, зачастую хорошие профессионалы в своей области, но далекие от информацилнных технологий, тем более, что нередко специализированного софта под линукс или нет или он хуже. Например, ремонтники разной электроники, какой-нибудь программатор и софт под него часто только под винду.