Ходіння по муках або Шифрування трафіку в Direct Connect, ч.3
І ніхто не вливає молодого вина в старі міхи; а інакше молоде вино прорве міхи, і саме витікає, і міхи пропадуть; але молоде вино має вливати в нові міхи; тоді збережеться і те, й інше. Лк. 5:37,38
У квітні цього року адміністрація найбільшого у світі DC хабу оголосила про початок підтримки безпечних з'єднань. Погляньмо, що з цього вийшло.
Оскільки все, що я думав із цього приводу, вже було висловлено раніше, цієї частини статті зовсім не мало бути.
Якщо потрібна безпека, вибирайте сучасний клієнт та ADCs хаб. Крапка.
Але якщо все ж таки використовувати NMDC хаб, або, звичайний? У цьому випадку доведеться зіткнутися з несумісністю старих, дуже старих, нових або просто неналаштованих DC клієнтів. Але – це було зроблено, і проблеми не змусили на себе чекати.
мафія
По-перше, безпечні з'єднання "клієнт-клієнт" встановлюються незалежно від наявності шифрування "клієнт-хаб".
По-друге, неможливо візуально визначити хаб, який транслює чи не транслює запити на безпечні з'єднання.
По-третє, на сьогоднішній день практично у всіх DC клієнтах шифрування з'єднань включено за умовчанням.
Запам'ятали? А тепер давайте перевіримо налаштування TLS на стороні користувача, підключимося до хаба та акуратно спробуємо з'єднувати клієнти один з одним.
NMDCs хаб
DC++ категорично цурається безпечних з'єднань на NMDC хабах, проте цілком схвалює звичайні. Причину розробники озвучували не раз – нема чого ходити старими граблями!
StrongDC++ вміє тільки TLS v.1.0, і сучасні клієнти з ним зовсім не з'єднуються. З GreylinkDC++ все ще гірше.
FlylinkDC++ охоче знижується в режим сумісності зі старими клієнтами. Чи надовго це і чи потрібно взагалі?
EiskaltDC++ робить те саме менш охоче, тільки на свою потребу.
ADC хаб(и)
Все одно те саме, але DC++ активно включається в гру.
EiskaltDC++, схоже, не робить різниці між NMDC та ADC хабами, суворим до обох.
А якщо відфільтрувати застарілі клієнти, встановивши на вхід обов'язкову вимогу підтримки TLS v.1.2?
ADCs хаб(и)
Чудово, чи не так?
Висновки
Читачеві може здатися, що краще використовувати FlylinkDC++ і не мати проблем, однак Ви забуваєте, що цей клієнт проблемний сам по собі. Один з останніх відомих мені інцидентів з ним – галочки підтримки безпечних з'єднань у багатьох користувачів, які так і не простовувалися за допомогою віддаленого конфіга, і фактична відсутність оних у всіх ранніх його версіях.
Разом з безлічі історичних і політичних причин використання NMDCs хабів як бази для безпечних міжклієнтських з'єднань утруднене або зовсім неможливо. Використовуючи NMDCs хаб, Ви з гарантією втрачаєте можливість з'єднуватися з частиною користувачів, а натомість отримуєте безпеку – але без гарантій.
Рекомендації
Почніть використовувати ADC хаби, хоч би й авансом. Відмовтеся від застарілих клієнтів і, якщо Ви адмін DC хаба, забаньте у себе Стронг та Грей. Бо
Будь-яке царство, що розділилося саме в собі, спорожніє; і всяке місто чи дім, що розділився сам у собі, не встоїть. Мт. 12:25