Názory k článku Jednoduchá VPN s WireGuard, netiketa, virtuály a kontejnery

Citace: Opak toho je pak bottom-posting: na začátku e-mailu odcitujete původní text a pod ni odpovíte. "Problém je, že čtenář původní text zná, protože ho sám napsal. Musí tedy odrolovat dolů, aby si přečetl vaši odpověď. Takto rozhodně ne."
Ideální je inline odpověď. Odcituje se jen relevantní část e-mailu, pod ni vložíme odpověď. "Většinou se to nepoužívá, protože lidé nevědí, že jejich klasické používání e-mailu nedává smysl." Rozhodně je správně, když v odpovědi odstraníte nadbytečný text z citace. "Je ale neslušné vytrhávat z kontextu a zneužívat výběrové citace k tomu, abyste citovali něco, co pisatel nechtěl říct."

Dovolím si nesouhlasit. Především v korporátním prostředí při práci na projektu, kterého se účastní více osob (čímž se může v něčem podobat konferenci, kde se časem mění počet účastníků - přibývají/ubývají podle fáze projektu) je dobré mít vždy k dispozici celou historii namísto útržků. Tak se člověk bude moci orientovat v kontextu lépe, obzvláště pokud se neúčastnil předchozí fáze a musí navázat na práci někoho jiného. Zároveň se tím zabrání v článku zmíněnému riziku vytrhávání z kontextu a výběrovým citacím. Rovněž pro archívní účely je lepší mít jeden email s celou historíí a zálohovat pouze ten, než muset zálohovat třeba 10 emailů, na které moderní a pokrokoví uživatelé odpovídali inline.

Způsob použití záleží na konkrétním případu. Pokud předpokládám jednoduchou záležitost, která bude vyřešena jednou odpovědí, není třeba citovat vůbec (ani inline) a prostě přímo konkrétně odpovědět. Pokud předpokládám složitější záležitost, na které se bude podílet více lidí ve více krocích/fázích, zachování plného kontextu je žádoucí.

Člověk, který cizím lidem na potkání tyká, těžko bude působit důvěryhodně na téma netikety.

Váš argument strom versus řetězec je validní argument proti používání emailu jako zdroje historie obecně. Tím myslím to, že u inline citací historie nebude fungovat téměř vůbec, čili zhoršení situace kvůli větvím stromu nebude významné, protože ta situace bude špatná už z principu. Při plném citování větve stromu situaci zhorší více, ale jen proto, že na té situaci je co zkazit, poněvadž výchozí pozice je mnohem lepší než u inline citací. Co se týká vícenásobné odpovědi jednoho uživatele, tak je přece logické (a například já osobně to dělám), že nebudu odpovídat několikrát na ten samý email, ale vždy na jeho poslední nejaktuálnější verzi. Pokud je ta verze moje, tak dám odpověď na svůj email a jen upravím adresu příjemce.

A jaký způsob oslovení by si Vaše Veličenstvo přálo, pokud Jim jediný gramaticky smysluplný spůsob není po chuti?

Jakožto osoba, vyrostlá ještě na FIDOnetu, nemám problém s tím, že si ve fóru lidí tykají, aniž si byli na teambuildingové psychoakci oficiálně představeni před nastartovanou V3Skou. Naopak ti, kdo speciálně ve fórech (firemní maily jsou úplně jiná hra) trvají na vykání a formalitách, na drtivou většinu lidí působí jako teoretici s tendencí při sebemenším kontaktu s realitou spektakulárně explodovat.
Aneb jak praví klasik (konkrétně Oscar Wilde), gentlemana nedefinuje lpění na formalitách, nýbrž schopnost chovat se za všech okolností přiměřeně situaci.

Připadá mi, že mylně zaměňujete formální chování a slušné chování, ovšem tyto dva pojmy neznamenají totéž a vy se pravděpodobně domníváte, že mi jde o formální chování. Dále chci podotknout, že podle mé zkušenosti, lidé, kteří se v diskusi opírají o "drtivou většinu", aniž to mají podloženo nějakou studií, velmi často zaměňují přání za argumenty a je to spíše odraz jejich "sociální bubliny" nežli skutečný stav vyjadřovaný většinou.

Rád bych vyjádřil svůj názor, kterým vás nechci přesvědčovat, pouze chci vyjasnit mé stanovisko, protože se domnívám, že mé chování interpretujete podle svého osobitého výkladu. Na internetu, především na fórech a diskusích, nemalá část lidí "nechá prchlivost cloumat svým majestátem" a uchyluje se k osobním výpadům a tím směřuje diskuse od předmětu diskuse k osobnosti diskutujících. Velmi často se jedná o trolly, ale k takovému jednání může sklouznout i člověk, který se jako troll obvykle neprojevuje. Lidé v takovém stavu se obvykle urážejí a nadávají si a typicky k tomu používají formu jednotného čísla. Používání množného čísla je jedna z možností, jak takovému chování předejít v případě, že se jedná o člověka, který se obvykle jako troll neprojevuje. "Typičtí trollové" se tímto ale nijak nenechají rozptylovat a nasazují jednotné číslo od začátku. To samozřejmě neznamená, že každý, kdo druhým tyká se chová jako troll, já pouze uvádím jednosměrnou implikaci, nikoliv ekvivalenci. Abych to shrnul, vidím přínos ve vykání v diskusích mimo jiné v tom, že přispívá ke kultivovanosti projevu tím, že lidé, kteří mohou občas sklouznout k trollování, v tomto projevu nepodporuje, ale spíše je bude lehce motivovat k tomu, aby osobní výpady neprováděli. Toto je tedy jeden z důvodů, proč já osobně preferuji implicitní slušnou formu i v diskusi. Toto je můj názor, se kterým nemusíte souhlasit a ani vás nechci přesvědčovat, jen jsem vám chtěl sdělit, že se pravděpodobně mýlíte v motivech, které jste mi pro mé jednání nesjpíše přisoudil.

No, mně přijde, že si tyto dva přístupy vzájemně neodporují a nevylučují. Já osobně většinou pracuji tak, že v odpovědi nechám citaci celého e-mailu (na konci) (čímž je zachována kompletní historie) a ve chvíli, kdy mi to přijde vhodné (z nejrůznějších důvodů, nad kterými by šlo dlouze diskutovat) použiji vloženou (inline) citaci. Pak můj mail vypadá následovně:

Úvod
Citace A
Moje reakce na A
Citace B
Moje reakce na B
...
Závěr
Citace celého mailu, na který reaguji včetně jeho příp. citací

Samozřejmě, já netvrdím, že si odporují nebo se vylučují. Sám jsem uvedl, že to záleží na konkrétní situaci. Já jsem se pouze ohradil proti znění ve članku, kde se o bottom-postingu píše: "Takto rozhodně ne." a o inline citaci se píše: "Ideální je inline odpověď." S tím já nesouhlasím a říkám svůj názor, že to závisí na situaci, přičemž jsem ještě dodal, že někdy není třeba citaci uvádět vůbec, tedy ani tu inline formu, prostě podle okolností s kým, o čem, proč ...

V tom případě se omlouvám, pochopil jsem to jinak.

Většina věcí v této přednášce vychází z názorů, které jsou základem slušného chování na síti. Můžete se ale chovat jinak, internet je pořád ještě docela svobodný.

Neskutečně mě vytáčí v IT silně rozšířená představa, že nechovat se podle domluvených pravidel slušného chování je svoboda. To ale není svoboda, to je anarchie. Svoboda není právo porušovat pravidla.

Nevím, jestli to pramení ze zažitých nepřesných/chybných překladů anglické terminologie (např. open software přeložený doslovně jako "otevřený" mi přijde mnohem přesnější než trendy ovšem vágní překlad "svobodný"), ale každopádně je to špatně a je to zneužívání/ohýbání významu...

Mě spíše na té větě, "můžete se ale chovat jinak, internet je pořád ještě docela svobodný" zarazilo něco jiného. Ta věta vyznívá jako že její autor pozoruje snahy o postupné potlačování svobody, čemuž internet stále ještě jakž takž odolává, ale že stejně v budoucnu autor očekává významné omezení svobody i na internetu. Neříkám, že to tak autor myslel, jen říkám, že takhle na mě ta věta působí.

Já osobně ty snahy o omezení svobody na internetu vidím dost jasně a vnímám to jako veliký problém, spíše jsem překvapen, že to tu v článku bylo vůbec zmíněno, protože zároveň s tím omezováním svobody vnímám i snahy o umlčování rozumných námitek, aby vůbec jen zazněly. Například jsem měl pár diskusí (tím myslím, že se to nestalo jen jednou) s šéfredaktorem Lupy panem Davidem Slížkem, který když už nevěděl jak mi oponovat argumenty, tak začal být útočný a už mě nazval například demagogem nebo trollem. Přitom jsem se celou dobu snažil o slušný a kultivovaný projev se snahou o objektivitu a nebyl jsem to já, kdo diskusi vyostřil. Přiznám se, že jsem mu pak už vytkl i malou drobnost, kterou bych u někoho jiného přešel, ale to už byla reakce na opakované napadání z jeho strany. Já osobně jsem rád, když oprávněné námitky zazní a byl bych ještě radši, kdyby tu nebyly zřetelné snahy o jejich umlčování například dehonestováním, nálepkováním a napadáním kvůli odlišnému názoru.

"Svoboda jednotlivce konci tam, kde zacina svoboda nekoho jineho." (Autor se mi nechce hledat :-P)

Ja slysel, ze svoboda jednoho konci tam, kde zacina pest druheho :D

Anarchia neznamena, ze sa ludia nechovaju podla dohodnutych pravidiel, znamena to len to, ze tie pravidla nie su vynucovane centralnou mocou, ale ludia ich dodrzuju z vlastnej vole a dobrovolne. Z tohto pohladu stale vladne na internete ciastocna anarchia a tak je to dobre.
A co sa tyka pravidiel slusneho spravania, tak to skutocne pravidlo existuje len jedno - "Nerob to, co nechces aby tebe robili ini". Vsetko ostatne je len balast.

> Neskutečně mě vytáčí v IT silně rozšířená představa, že nechovat se podle domluvených pravidel slušného chování je svoboda.

Co když ale žádnou domluvu na pravidlech nemáš? Dokážu si představit, že z konference někoho vyloučí protože nedodržuje pravidla - v pravidlech je napsáno inline reply, tak bude inline reply. Ve firmě to můžeš taky nějakým způsobem řešit (když vedoucí týmu řekne top post, bude top post), ale dokud ty pravidla formálně nemáš, tak se nedají porušit (=budeš sice za osla, ale chovat se budeš slušně).

Jenomže tykání a slušné chování jsou dvě samostatné a v podstatě naprosto nesouvisející věci (někomu sprostě vynadat lze samozřejmě i za použití všech znaků formální komunikace). Ve fórech je už víc než 40 let (!!!) zvykem si tykat.

Mě neskutečně vytáčí špatné chápání slova anarchie :)
Podle mne anarchie není nedodržování pravidelo a zákonů.
Pro mě je anarchie komuitně demokratický způsob jak tvořit zákony tak aby byly legitimní a platili jen ty. A legitimnost nedávají instituce zhora, které jsou odpojené od běžných lidí ale instituce jsou tvořeny zdola například plénem (setkání v kruchu kde se diskutuje o problému a hleád konsenzus).

Honza D.

Nebo by sis mohl neco dostudovat ty. Network namespace neni virtualizace hardwaru, ani jeho emulace. Pouze izolace relevantnich casti codepaths od sebe, takze nektere interfacy vidis jen z nekterych ns, ze maji svoje netfilter pravidla, apod. Neni to virtualizace, je to izolace.

Mozna by se to chtelo zamyslet, nez se clovek ztrapni linkovanim doc Dockeru, obzvlast v reakci na orednasku typka, ktery ma problematiku zvladnutou a veci nactene na level zdrojaku a odexperimentovane i vlastnim kodem.

Ale tak zasmal jsem se dobre, to ti musim nechat ;)

Videl jsi nekdy trace nejakyho sitovyho syscallu z toho kontejneru, prosimte, ze delas tak chytryho? Zkus zalizt realne k veci, mrkni se do zdrojaku, jak je to poskladany a az pak machruj s obrazkama.

Dockeristi obecne maji o vecech tak zjednodusenou predstavu, ze to boli. Ale tezko se divit, kdyz je vlastne Docker nacisto marketingovo-hypovaci firma (s nejistou budoucnosti, nastesti). Vsechnu podstatnou praci odmakali lidi pred nejakym Hykesem a marketakama okolo nej - v kernelu. A tak hluboko z Dockeristu jde kdo?

No zkus si to. Uvidis, ze ty tvoje obrazky jsou jenom zjednodusene nakresy pro lepsi pochopeni, ne, ze tak je to realne postavene.

ty mas dnes nejakou bojovnou naladu, proc byste meli byt idioti? ;)

hlavni vyhoda wireguardu je v tom ze to neni userspace (jako openvpn) ale je integrovan primo v kernelu (jako ipsec), takze je (mel by byt) rychlejsi (nez openvpn) ale narozdil od ipsec je stejne lehce konfigurovatelny jako openvpn...

> Tak premejslim, jestli je idiot autor tech vyroku nebo ja. OpenVPN potrebuje jen klic a IP serveru a funguje me spolehlive i na cinskym routeru pres 3G spojeni. Nak nevidim ty "vyhody" WireGuardu...

OpenVPN sa vacsinou pouziva v TLS mode, ktory je stavovy, teda na zaciatku si musia obidve strany dohodnut kluc (ktory potom pravidelne obmienaju). Ten pociatocny handshake je bohuzial slabinou tohoto protokolu, pretoze sa da pomocou DPI identifikovat ze ide o otvorenie OpenVPN kanalu a dynamicky (a vysoko cielene) odstrihnut kombinaciu IP/port. S velkym uspechom pouzite cinskymi Sudruhmi pri GFW (a teda maslo na hlave maju aj zapadni Kapitalisti, ktori im dodali DPI riesenia schopne to zvladnut, ale to uz je o inom).
Ked sa tento problem pred rokmi vynoril, vyvojari OpenVPN to odmietli riesit s argumentom typu, ze nie je ulohou OpenVPN sa skryvat, ale sifrovat komunikaciu. Takze to nakoniec poriesili ludia mimo, ze zabalili cely OpenVPN do stunnel, pripadne do obfs3 a neskor do obfs4. Tym sa sice vyhli priamej detekcii DPI, ale prisli tym o UDP. Takze cinski Sudruhovia sa mohli vratit k svojmu snad najstarsiemu triku TCP-reset (a nemusia nic "hlboko" analyzovat).
Najnovsie im asi v OpenVPN uz doslo, ze ich prvotny nazor asi nebol moc orechovy, tak niekde od verzie 2.4 pridali volbu tls-crypt, ktory robi presne to, co ludia od nich ziadali kedysi, teda sifruje aj ten prvotny handshake ktory vyzera nahodne, teda uz nie je pomocou DPI odhalitelny.

Ale preco to tu tak takto siahodlho vykladam? Snad aby som ukazal, ze OpenVPN nie je vzdy az take jednoduche a spolahlive. Skratka sa nan postupom casu nalepilo plno veci, nastavenia su zlozite preto trva dlho kym si veci vyladis ako potrebujes... A po case sa v tych zlozitostiach objavi nejaky "fragile" detail, pomocou ktoreho sa ti to zacne rozbijat a zase to treba riesit, zase treba prilepovat nove veci... Napriklad si nie som isty, ci je terajsia implementacia OpenVPN odolna proti "uhadnutiu" ze ide o uvodny handshake postrannym kanalom z velkosti uvodnych sprav a ich casovania, to by mohlo byt dalsie "kolecko".

Wireguard ma naproti tomu ulpne trivialne nastavenie. Uz len kvoli tej jednoduchosti je rychlejsi - osobne si myslim, ze to prispieva rychlosti este viac, nez ovladac v jadre (ktory samozrejme pomaha tiez).
Dalsia vyznamna vec je, ze Wireguard je bezstavovy, teda tam nie je ziaden uvodny TLS handshake, teda jednak tento vektor utoku na WG neexistuje, a tiez ti linka nabehne podstatne rychlejsie, nez v OpenVPN. (Pre poriadok: v OpenVPN sa da nieco podobne dosiahnut pomocou pre-shared-key, kedy OpenVPN pracuje tiez bezstavovo a v principe vtedy "potrebuje jen klic a IP serveru", ale bohuzial to v tom OpenVPN dobre neskaluje, ten isty kluc pouzivaju obidve strany, prakticky je to pouzitelne len na jeden privatny point-to-point tunel kde mas pod kontrolou obidve strany. Plus robia problemy pokusy o replay utoky a chaosy s MTU, takze v reale je tych nastaveni aj tak treba predsa len viac, nez "jen klic a IP". A je to vyrazne pomalsie nez Wireguard.)
No a tiez obcas ked sa OpenVPN linka zosype, tak sa stava ze pakety zacnu chodit nechranene a ty si nemusis vsimnut, ze uz ides napriamo mimo VPN (tymto trpia aj IPsec alebo OpenConnect). Pri Wireguarde som to doteraz nepozoroval (ked sa zosype linka, alebo sa hocico stane na druhej strane, interface je stale v systeme, vsetko je routovane nan, ziadne nechranene pakety von neleakuju).

Wireguard zacal na cistom stole a evidentne sa jeho tvorcovia snazia brat do uvahy vsetky poznatky z doterajsieho vyvoja. OpenVPN tym vyvojom sam prechadzal, niektore veci spociatku zname neboli a objavovali sa az postupne, takze sa niet co cudovat, ak tam nie su riesene velmi dobre.

Mozno prave tebe ten OpenVPN v tvojich podmienkach funguje dostatocne, GFW riesit nemusis, v tom pripade gratulacia. Ini take stastie nemaju - ale niektori z nich maju potom zase take stastie, ze zaziju "zjavenie" tych vyhod Wireguard-u, ktore ty nevidis.

> Čím je to vykoupené? Podporuje to například forward secrecy? Jak se to vypořádá třeba s replay attackem?
Takych detailnych otazok mozes polozit milion, len toto asi nie je najspravnejsie miesto... Odpovede hladaj na https://www.wireguard.com/ (napriklad forward secrecy), pripadne si to sam otestuj (trebars replay attack).
Ja mozem len zopakovat moje skusenosti z vlastneho pouzivania: WG u mna naozaj ma lepsi vykon nez OpenVPN, spojenie je robustnejsie, a konfiguracia je omnoho jednoduchsia.

> To je celkem těžké uhlídat obecně. Uhlídat nějaký rozsah IP adres by asi ještě šlo. Uhlídat provoz na DNS už bude těžší. A třeba v prohlížeči bez takové ochrany po 100 % času se těžko ubrátníte cache poisoningu.
Zase len mozem zopakovat, ze WG mi doteraz nespadol ANI RAZ (teda nic neslo mimo VPN tunela od momentu kedy som WG sam zapol az do momentu kedy som ho sam vypol), kym ine VPNka zhucia pomerne casto (a od momentu samovolneho zhucania zacnu pakety putovat do netu bez ochrany). Samozrejme na OpenVPN sa da vymyslet nejaky narovnavak na ohybak, aby po zhucani nic neslo von - ale to sme zase pri tej otazke jednoduchosti nastaveni.
DNS cache poisoning je specificky problem, ktory nesuvisi s tym, ci je WG lepsi/horsi/jed­noduchsie-konfigurovatel­ny/..., pretoze tymto problemom sa treba zaoberat s akoukolvek VPNkou.