Vlákno názorů k článku
Chrome zkrátí životnost cookies doručených po HTTP od Miroslav Šilhavý - Není to tu ještě tak zlé, jak jsem...

Není to tu ještě tak zlé, jak jsem se obával. Mám sice víc palců dolů než nahoru, ale pořád existuje dost velká skupina těch, kteří věří, svoboda jedince (= uživatele a poskytovatele obsahu) jsou víc, než moudrá rozhodnutí IT odborníků či obdobně EU úředníků. Nehodnotím, jestli nápad s cookies či de facto povinným TLS je dobrý nebo špatný. Hodnotím jen to, že způsob vzniku a prosazení toho nápadu je špatný, a budeme-li tímto směrem pokračovat, budeme řešit následky.

Úsměvné mi přijde, že plošné šifrování je podle pana Jirsáka zadarmo a nikoho nic nestojí, zatímco lokální NAT spojení je podle všeho neúnosný na náklady provozu, či to, že spotřebu energie regulovat její cenou je "nepřímá metoda". Chápu, že pan Jirsák je technologický nadšenec, který je rád, když mu vnější podmínky dělají práci radostnější. Nebojme se ale mluvit o tom, že tyto hračky platíme my všichni a zároveň ztrácíme čím dál víc vliv na to, jakým směrem se vývoj ubírá.

Věřím, že jak svícení, tak šifrování provozu se dalo řešit bez zásahů shůry. Dodnes nemám problém poslat poštou pohlednici či obyčejný dopis, u kterých se taktéž může stát, že se ztratí, někdo cizí si je přečte, nebo dokonce zamění obsah. Umím rozlišit, co v mém životě má takovou cenu, abych si to nákladně chránil, a co takovou cenu nemá. Jsem rád, že si zatím můžu vybrat, do čeho ve svém životě investuji. Bohužel, byrokrati a "odborníci" mi z toho neustále ukrajují.

zároveň ztrácíme čím dál víc vliv na to, jakým směrem se vývoj ubírá.

No ten se ubira do prdele a vliv mate tak trochu jen na to, jakymi odbockami tam dojde.

Kdybyste tak okatě nepodsouval, že jedině to, co chcete vy, je ta správná svoboda, a kdo s vámi nesouhlasí, je proti svobodě, mohlo by být zajímavé s vámi diskutovat. Třeba bych se konečně dozvěděl, jaký zásah shůry je v tom, že si soukromá firma vyvíjí svůj prohlížeč a uživatelé ho dobrovolně používají, a ti, kteří ho používat nechtějí, používají některý jiný z dostupných prohlížečů. A jestli by podle pana Šilhavého bylo správně, kdyby se soukromým firmám zakázalo vyvíjet prohlížeč dle vlastního uvážení a někdo by jim přikazoval, jaké funkce do něj mají a jaké nemají dávat, nebo jak by si to představoval – co by bylo svobodnější než to, že firma něco dělá, nabídne to uživatelům a ti to svobodně buď používají nebo nepoužívají a mohou své rozhodnutí kdykoli změnit.

A jestli by podle pana Šilhavého bylo správně, kdyby se soukromým firmám zakázalo vyvíjet prohlížeč dle vlastního uvážení a někdo by jim přikazoval, jaké funkce do něj mají a jaké nemají dávat, nebo jak by si to představoval – co by bylo svobodnější než to, že firma něco dělá, nabídne to uživatelům a ti to svobodně buď používají nebo nepoužívají a mohou své rozhodnutí kdykoli změnit.

Nic takového jsem nikdy neřekl a ani jsem nikdy neřekl, že co je pro koho nejlepší. Jednoznačně zastávám názor, že si to musí určit každý sám. Pro Google je nejlepší dělat tyto kroky a nechť je dělají.

Co zde kritizuji je to, že se někteří tváří jako odborníci a nekriticky tyto kroky přijímají a hodnotí je jen pozitivně, aniž by chtěli vidět, že ty samé kroky někteří bude vnímat přesně opačně.

Moje kritika nepatří tolik Googlu, jako autorovi nevyváženého článku a zaslepeným odborníkům, kteří jsou schopni říct teze typu "je nad slunce jasnější, že je potřeba šifrovat" nebo "ochrana soukromí je nade vše". Možná ano, možná ne, neberu jim ten názor, ale nepovažuji je pak za odborníky v pravém slova smyslu. Odborník podle mě zvažuje problematiku ze všech stran, ne jen ze svého úhlu pohledu.

Když jsem tu napsal, že tyto kroky přinesou jiným lidem a firmám náklady, dostal jsem za to palce dolů. Od lidí, kteří ty náklady patrně neponesou - takže se jim to lehce hodnotí.

Nic takového jsem nikdy neřekl a ani jsem nikdy neřekl, že co je pro koho nejlepší. Jednoznačně zastávám názor, že si to musí určit každý sám. Pro Google je nejlepší dělat tyto kroky a nechť je dělají.
Takže uživatelé si mohou dobrovolně vybrat, že budou používat Google Chrome? Už to není žádný zásah shůry?

Co zde kritizuji je to, že se někteří tváří jako odborníci a nekriticky tyto kroky přijímají a hodnotí je jen pozitivně, aniž by chtěli vidět, že ty samé kroky někteří bude vnímat přesně opačně.
To by asi chtělo, abyste byl konkrétnější a a odkázal, kde konkrétně takové nekritické přijímání vidíte.

autorovi nevyváženého článku
Opět, mohl byste být konkrétnější, co je na zprávičce nevyváženého?

zaslepeným odborníkům, kteří jsou schopni říct teze typu "je nad slunce jasnější, že je potřeba šifrovat"
Co je na té tezi špatně? Každý, kdo s vámi nesouhlasí, musí být automaticky zaslepený? Nebo jak jste přišel na to, že to říkají zaslepení odborníci?

"ochrana soukromí je nade vše"
Mohl byste být opět konkrétnější a odkázat, kde tohle někdo tvrdil?

Možná ano, možná ne, neberu jim ten názor, ale nepovažuji je pak za odborníky v pravém slova smyslu.
Takže odborník v pravém slova smyslu je jen ten, kdo souhlasí s vaším názorem?

Odborník podle mě zvažuje problematiku ze všech stran, ne jen ze svého úhlu pohledu.
To souhlasím. A myslím si, že ten, kdo problematiku zvažuje jen ze svého úhlu pohledu, jste tady vy.

Když jsem tu napsal, že tyto kroky přinesou jiným lidem a firmám náklady, dostal jsem za to palce dolů.
Jistě, protože se na tu problematiku díváte jenom ze svého úzkého pohledu a zapomínáte na širší kontext. Takže jste uvedl, že se zavedením HTTPS někdo bude mít náklady, ale už jste zapomněl dodat, že s podporou nešifrovaného HTTP v prohlížečích (a s bezpečnostními incidenty a opatřeními z toho plynoucími) máme náklady řádově větší. To je právě problém toho vašeho nevyváženého přístupu, kdy zmíníte jeden problém, ale opačný problém, který je třeba tisíckrát větší, ignorujete.

Od lidí, kteří ty náklady patrně neponesou - takže se jim to lehce hodnotí.
Opět – proč někoho hodnotíte jenom na základě toho, že si s vámi dovolil nesouhlasit?

Takže uživatelé si mohou dobrovolně vybrat, že budou používat Google Chrome? Už to není žádný zásah shůry?

Pochopitelně si mohou vybrat a pochopitelně je v tak silném postavení, jako je Google, toto de facto zásah shůry. Když si přečtete jeden z mých prvních postů, zvolávám tam to, že si chci dopřát tu svobodu a takovému postupu neaplaudovat. Asi to pro Vás není k pochopení, ale to, že mám na něco svůj názor, neberu jako popud k tomu, abych ho vnucoval komukoliv - ať už Googlu, či spotřebiteli. Jsem jen rád, že může zaznít a rezonovat.

Každý, kdo s vámi nesouhlasí, musí být automaticky zaslepený?

Zaslepený je ten, kdo ani nezváží žádnou jinou úvahu a hledá jen důvody pro směr, pro který se rozhodl.

už jste zapomněl dodat, že s podporou nešifrovaného HTTP v prohlížečích (a s bezpečnostními incidenty a opatřeními z toho plynoucími) máme náklady řádově větší. To je právě problém toho vašeho nevyváženého přístupu, kdy zmíníte jeden problém, ale opačný problém, který je třeba tisíckrát větší, ignorujete.

To se mýlíte. Já pouze trvdím to, že:
1. pokud si ty náklady na provoz HTTP nese ten, kdo se pro ten provoz rozhodl, je to správné, je to jeho svobodná volba, i když podle Vás iracionální; já se necitím být schopný generalizovat a hodnotit rozhodnutí druhých, proto přijímám, že se rozhodli náklady nést; dokud to za ně neplatí ostatní, je to v pořádku;
2. jakýmkoliv silovým usměrněním vývoje riskujete, že zatlačíte nějakou efektivnější myšlenku. Viz IPv6 vs. IPv4 a NAT, kde zákony ekonomiky ukázaly, že zatím je IPv4 levnější (a tedy efektivnější) cesta. Na IPv6 pomalu dochází čas, nyní to bude stát zlomek peněz, než by to stálo před 10 lety.
3. Za generálně špantý považuji argument, že zavádění HTTPS je globálně lepší, levnější. To je jakýsi princip solidarity - tedy všichni se složíme na to, aby systém fungoval efektivně. To je způsob, který je potřeba u zdravotního pojištění nebo důchdovoého systému, ale nemá co dělat v komerčním prostředí poskytování internetu. Podobnou úvahou byste mohl třeba chtít založit globálního výrobce bot, protože boty potřebujeme taky každý, a jejich kvalita na trhu je děsná, a zavést pravidla by mohlo světu pomoci. Proč vidíte potřebu globálního dobra zrovna u internetu (který zdaleka všichni obyvatelé planety nepotřebují) a nevidíte tu samou potřebu v obuvnickém průmyslu? (Boty potřebuje každý).

Ehm, třeba já patřím k těm kteří ty náklady nesou. Přímo (vlastní projekty) i nepřímo (přes zaměstnavatele, ale i to počítám – nejen že jsou technologické tasky většinou nudnější než rozvoj produktu, ale je tak nějak i v mém zájmu dělat na věceh co přináší peníze). A zároveň patřím k těm co tyhle iniciativy vítají, přestože chrome nepoužívám.

Protože ty náklady jsou nejen většinou naprosto tristní (což mám myslím docela z první ruky), ale zároveň vznikají na místech kde měly vzniknout dávno. Navíc zviditelňují problematiku asi jediným opravdu efektivním způsobem. Dokud lidem něco nepřestane fungovat, neví o tom že to byl problém. Předtím než začaly prohlížeče docela intenzivně potlačovat HTTP při zadávání formulářů a podobně, kolikrát nikdo ze zúčastněných neměl tušení že se vystavuje nebezpečí. Provozovatel webu si ho nechal vytvořit od diletantů co se na SSL vykašlali a klient netušil že zadávat přihlašovací a osobní údaje přes HTTP není úplně dobrý nápad. Po těch zásazích už si teď snad nikdo nedovolí prodat e-shop co funguje čistě přes HTTP.

Mimochodem, napadá mě srovnání s operačními systémy. Když Microsoft přešel u domácích OS z jednouživatelských Windows 3.x - 9x - ME na systémy založené na NT jádru, znamenalo to pro vývojáře spousty aplikací náklady navíc a rozbití spousty starého software. Protože vývojáři do té doby často „na hulváta“ ukládali dočasné soubory, nastavení a kdoví co ještě přímo do instalačního adresáře aplikace místo do adresářů k tomu určeným. Považujete tenhle krok MS také za špatný? Mně to přijde jako úplně stejný problém. Vyvíjím aplikační platformu a vyžaduji, aby aplikace které na ní běží dodržovaly nějaký bezpečnostní standard. Na tom opravdu nic špatného nevidím.

Dokud lidem něco nepřestane fungovat, neví o tom že to byl problém. Předtím než začaly prohlížeče docela intenzivně potlačovat HTTP při zadávání formulářů a podobně, kolikrát nikdo ze zúčastněných neměl tušení že se vystavuje nebezpečí.

Ano, máte pravdu, ale jsem zastáncem toho, aby spory o zneužití např. formulářových dat mezi sebou vedly ty dvě zúčastněné strany. Stačilo by pár takových sporů a vše by se změnilo. Možná by se to změnilo i trochu víc k lepšímu. Podívejte se dnes, na GDPR. Velká spousta firem k tomu přistoupila opět formalisticky: mít vypapírovanou odpovědnost, ale pokud možno nehnout prstem. Proto jsem zastáncem toho, aby si průšvihy vyžirali ti, kteří je způsobují.

Když Microsoft přešel u domácích OS z jednouživatelských Windows 3.x - 9x - ME na systémy založené na NT jádru, znamenalo to pro vývojáře spousty aplikací náklady navíc a rozbití spousty starého software. Protože vývojáři do té doby často „na hulváta“ ukládali dočasné soubory, nastavení a kdoví co ještě přímo do instalačního adresáře aplikace místo do adresářů k tomu určeným. Považujete tenhle krok MS také za špatný?

Velký rozdíl tu je. OS od Microsoftu nebyl nikdy zadarmo (jak Jarda poznamenal o Chromu, který je přibalován i k pracímu prášku a pytli brambor) a koncoví zákazníci si ho stejně vybrali. Pro developery to pak byla velmi stabilní a poměrně rádo přijímaná platforma pro další vývoj.

Pokud byste ale něco chtěla srovnávat, pak by to byklo např. kdyby formou updatu taková nová pravidla Microsoft vpravil do životního cyklu Windows 9x. Pak by to bylo asi srovnatelné o něco blíž.

No, jestli by nedelalo mensi bordel, kdyby firmy vyvijely prohlizece tak, aby odpovidaly RFC a podobnymi vecmi a pokud si mysli, ze je neco dobre delat jinak, tak by tlacily na upgrade RFC. Je asi celkem jedno, jak dlouho bude Chrome susit susenky, ale asi by nebylo od veci, kdyby ty zmeny probihaly vsude stejne, aby eventualne nedochazelo k tomu, ze s nekterymi prohlizeci bude clovek mit urcite problemy, ktere s jinymi nema.

Kdyby se s implementací čekalo, až se to standardizuje, tak tu máme pořád HTML 4.02. HTML5 bych kritizoval za ledacos, ale ten princip, že se to nejprve někde implementuje, ověří a teprve pak se to standardizuje, funguje výborně – protože pak se nestandardizují nesmysly, které vymyslel někdo od stolu, ale reálně se nedají používat.

Kdyby ty věci probíhaly všude stejně, přijdeme o diverzitu a nepotřebujeme několik prohlížečů. Takhle to má tu výhodu, že se dají porovnat obě varianty, a když se to neosvědčí, Chrome se zase vrátí k původnímu chování, a když se to ujme, implementují to i ostatní.

Takhle to má tu výhodu, že se dají porovnat obě varianty, a když se to neosvědčí, Chrome se zase vrátí k původnímu chování, a když se to ujme, implementují to i ostatní.

Jojo. A pak už stačí mít dostatečně chytrá oddělení v Googlu a dalších společnostech, aby tento "výhodný" postup dávkovali po plátcích salámu. Slovo "osvědčí" je pak jen eufemismem k reálnému stavu: že daná firma přinutí, aby její nápad zafinancovali jiní, kteří jsou "dobrovolně" nuceni upravit své produkty, aby dál fungovaly. Celé je to pak o tom, že nechrlíte nejlepší nápady, ale uníte je naporcovat a načasovat, aby je trh zbaštil. Fajn, je to funjkční model, s tím souhlasím. Je ale krajně nesympatický. Otázkou také je, jestli si tento vývoj opravdu někdo přál, nebo jestli byl uměle vyvolán jako painchain.

Jo, akorat tedy, ze si pak vsichni implementuji co se jim zachce a leta je v tom bordel, kde v kazdem browseru neco nefunguje jinak, nez v jinem, dokud se to nejak neustali a neni vydan ten standard. Aby tohle fungovalo, museli by soudruzi vyvojari browseru vic spolupracovat, aby ten bordel byl vsude vicemene stejny a ten standard byl vyvijen kooperativne. Nerikam, ze vsechno ma byt diktovano od stolu nekde ve W3C, protoze tem vsechno trva tak dlouho, ze bychom dodnes jeli na Gopheru.

No, jestli by nedelalo mensi bordel, kdyby firmy vyvijely prohlizece tak, aby odpovidaly RFC a podobnymi vecmi a pokud si mysli, ze je neco dobre delat jinak, tak by tlacily na upgrade RFC.

Dříve Microsoft, dnes Google a další už vědí, že mají takovou sílu, že mohou změnit něco ve svém produktu, a RFC se dřív či později přizpůsobí jim.