Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Сайт продолжает выходить под новым именем dxdt.blog. Пять избранных записок за май 2026 года:
Комментарии (2) »
Пару месяцев назад я заменил на dxdt.blog основой домен: вместо .ru стало .blog. Пока что проблема с заменой локальных ссылок остаётся: нужно добраться до доступных в БД сервера гиперссылок, которые указывают на dxdt.ru (по историческим причинам), и заменить их на соответствующие внутри dxdt.blog. (Пока что всё работает потому, что на dxdt.ru есть HTTP-редирект.)
Но есть и проблема другого рода: непонятно, что делать с использованием dxdt.ru в качестве названия данного сайта – я сайт выпускаю двадцать два года, и не просто привык писать “на dxdt.ru”, но обороты с “dxdt.ru” тут используются едва ли не повсеместно, и без всяких ссылок. Например: “Публикации dxdt.ru в 2023 году”. И вот как тут быть – пока не придумал: в том смысле, что писать ли теперь в новых записках “dxdt.blog” или уж просто “dxdt”. (Само название навеяно дифференциалами записи производной: dx/dt, а не дифференциалами в записи интеграла, как иногда думают. Но это не очень помогает.)
Комментировать »
Если вы вдруг регулярно используете форму логина на dxdt.blog, то, пожалуйста, учитывайте, что после нескольких неудачных попыток ввода пароля (выполненных в течение короткого времени) IP-адрес вашего клиента может быть заблокирован на сервере, обычно, на сутки или около того. Блокирование по IP-адресу реализуется до веб-сервера, а это означает, что и на сайт не получится зайти. (Хуже того, если кто-то с вами использует общий внешний IP-адрес, за NAT, то заблокирует всех – избирательности там никакой нет. Но, думаю, поскольку посещаемость реальными пользователями крайне мала – такое совпадение вряд ли возможно: тем не менее, конечно, тоже вариант из серии “навредить коллегам из одной и той же офисной сети”.) Это всё вынужденные меры – к сожалению, опять случился какой-то массовый набег ботов, перебирающих логины десятками в секунду.
Комментировать »
Заменил адрес технического описания TLS, которое я поддерживаю, на tls.dxdt.blog (старый адрес, – tls.dxdt.ru, – пока работает, показывает на тот же узел, но там я сделал HTTP-редирект на новый адрес).
Комментировать »
Занятно, что сейчас на странице “Избранное” перечисленно 333 записки. Первая – это записка про роллероны, 2006 года.
Я стараюсь в “Избранное” добавлять только особенно удачные, на мой взгляд, записки. Если верить панели управления WordPress, то всего сейчас опубликовано 3539 записок, с учётом этой. Написано и лежит в базе на сервере – чуть больше: пара записок так и не вышли в статус опубликованных, а одну – я скрыл сразу же после публикации (возможно, ещё пару записок, за все эти десятки лет, я удалил – но тоже почти сразу после публикации), но это всё редкость и было давно – обычно, если я уж написал текст на dxdt-сайт, то я этот текст здесь публикую; иногда – публикую тексты, которые вышли где-то ещё, но это именно что “очень иногда”, да и сейчас я уже практически никуда не пишу, кроме этого сайта. Так что, пока в “Избранных” примерно одна десятая от всех записок. Довольно большая доля.
На текущий момент, если взять среди всех публикаций dxdt, то лучшей я продолжаю считать записку “О визире и слоне”, которая вышла осенью 2022 года, и ни к технике, ни к интернетам – отношения не имеет вообще никакого, но имеет некоторое отношение к теоретической математике. На второе место поставил бы записку о путях самурая, пожалуй. Насчёт третьего места – вариантов уже слишком много.
Комментировать »
Очередное обновление страницы “Избранное” – добавил десять записок:
Комментировать »
Пока что сайт продолжает выходить (под новым именем: dxdt.blog). Отмечу отдельно пять записок, из опубликованных в апреле 2026:
Комментировать »
На dxdt.blog продолжают сыпаться десятки тысяч HTTP-хитов в сутки от ИИ-ботов, в том числе, повторные GET-запросы в течение одних суток на одни и те же URL.
Для особо надоедливых ботов я сделал отдельный HTTP-редирект (302), ведущий на специальную страницу, где с кодом статуса 503 возвращается краткая HTML-заглушка. В некоторых случаях это помогает – бот, во-первых, не идёт по редиректу (ну, это предположительно, судя, так сказать, по косвенным признакам), во-вторых – на какое-то время бот, наткнувшийся на редирект в сторону 503, перестаёт сканировать сайт. Но это именно что в некоторых случаях: многие боты так и продолжают тупо прыгать по редиректам, причём, при каждом соседнем запросе – превращая десятки тысяч GET-запросов в десятки тысяч последовательных редиректов. А если такого бота забанить уже на уровне сетевого стека, то он всё равно продолжает лить сетевые запросы. В целом, очень хорошо заметно, как распространение подобных ботов заливает веб – на dxdt.blog трафик ИИ-ботов, по HTTP-хитам с кодом 200, в десятки раз превысил всё остальное.
Ещё наблюдение по этой же теме: я некоторое время назад сделал на сайте специальную ссылку, которая, как я думаю, не должна использоваться при корректной работе с веб-сайтом, но если пройти по URL из неё, то это моментально приводит к блокированию IP-источника уже на уровне сетевого стека (netfilter в ОС, под которой крутится веб-сервер). Ссылку, по понятным причинам, здесь не указываю, но она есть в robots.txt – объявлена, как закрытая (Disallow), что, конечно, может и привлекать запросы. Однако по этой ссылке – совсем мало кто из ботов попадается: видимо, прямое указание в robots.txt – пока работает в сторону “отключения”.
Комментарии (3) »
В продолжение предыдущей записки: можно ли вообще обойтись без доменного имени для веб-сайта? Можно, но это доставит некоторых дополнительных проблем, да и “игра” получается с другими правилами. В принципе, сейчас уже можно автоматом заказывать и выпускать TLS-сертификаты для IP-адресов от хорошо известного (доверенного в “коробочных” браузерах) УЦ – это сертификаты от Let’s Encrypt, на шесть дней валидности.
Наличие TLS-сертификата и выделенного IP-адреса позволяет поднять веб-сервер с доверенным TLS прямо по IP-адресу, без использования доменного имени. Вот, посмотрите, я сделал для примера – должно работать в любом распространённом веб-браузере:
Этот URL – использует https, но указан просто IPv4-адрес, а не имя хоста/доменное имя. Сертификат я за несколько секунд выпустил при помощи утилиты certbot и профиля shortlived, всё при nginx в качестве веб-сервера, вот так:
certbot certonly \ --preferred-profile shortlived \ --ip-address 185.39.19.199 \ --webroot --webroot-path /var/www/html/
Да, конечно, нужен выделенный IP-адрес. На одном адресе, в такой схеме, может отвечать только один веб-ресурс (ну, если не использовать хитростей, напоминающих ECH). IP-адрес принадлежит тому или иному оператору, и оператор может его забрать, поменять, перенаправить трафик. Всё то же самое верно и при использовании доменного имени: с той лишь разницей, что, в случае доменного имени, поменять/забрать/перенаправить – касется и домена, и IP-адреса (адресов). Но при прямом использовании IP-адресации не нужна поддержка DNS для соединения с конкретным сайтом из браузера (тут речь именно про конкретный процесс из области веба, так-то, без DNS, не работает и IP тоже).
В принципе, не являясь оператором связи, блок IP-адресов можно приобрести в собственное управление, а потом разрешить анонсировать в Интернет тому или иному оператору, заведя нужные адреса на свой сервер, но вот только это сильно другая история, чем регистрация обычного доменного имени второго уровня; другая история – и технически, и административно, и финансово.
Понятно, что главная-то проблема с таким использованием IP-адресов – это то, что пользователю сложно запомнить обычный адрес. А адресов вида 1.1.1.1 или 8.8.8.8 – очень мало по определению. Кроме того, наверняка будут проблемы с ПО для веба, которое ПО может быть заточено под имена хостов. (Точно будут проблемы с почтовым ПО, но это не веб.)
И всё же, хотя бы возможность простого выпуска TLS-сертификатов для IP-адресов может тут оказаться полезной.
(Но я пока что не планирую переводить dxdt.blog на “чистую” IP-адресацию. Хотя, кто знает.)
Комментировать »
Месяц с момента замены доменного имени сайта на dxdt.blog (вместо зоны .ru) – из зоны .ru я перенёс сайт 22 марта 2026 года. За прошедший месяц поисковые сервисы, в основном, обновили ссылки: я сужу по Google, DuckDuckGo и “Яндексу” (в последнем, как ни странно, ситуация со ссылками на dxdt.blog даже лучше, чем я ожидал – я допускал, что там только .ru так и останется, но – нет, поменялось достаточно быстро, это плюс). Старые URL, как я подозреваю, всё ещё попадаются в выдаче, особенно, в DuckDuckGo, поэтому пока что придётся сохранить редирект с dxdt.ru.
Хуже всего, конечно, ситуация со ссылками на различных сайтах в Интернете – там есть ссылки, которым пятнадцать-двадцать лет, и повлиять на эти сайты, чтобы они обновили URL, я не могу. Это вообще проблема с современным состоянием DNS – система предполагалась для установления общей иерархии имён, но сейчас её, как и прочие интернеты, “штормит” с административной точки зрения, что приводит к активному “нарезанию” того, что есть, но уже с совсем другими целями. Поэтому – ничего не поделать: каких-то особо строгих гарантий в DNS и не было, были соглашения и практика здравого смысла, но такое сейчас – роскошь.
Есть и очень много внутренних ссылок на самом сайте: исторически так сложилось, что эти ссылки внутренние только по их происхождению – сами URL там полные и “внешние”, содержат dxdt.ru. Я планирую эти ссылки поменять скриптом в БД, но пока что не дошли руки. После того, как поменяю эти URL, буду уже думать насчёт того, отключить ли редирект на старом имени, которое в .ru, если ещё останется смысл – может, проще будет убрать A-записи.
Комментарии (7) »
В рамках “ренейминга”, связанного с миграцией сайта с доменов .ru, сделал субординатные имена авторитатвиных серверов DNS для dxdt.blog. “Субординатные” – означает, что имена авторитативных серверов (NS) находятся в той же зоне, которая делегирована на эти серверы: например, ns1.example.com, ns2.example.com для example.com. Такую схему именования ещё иногда называют “красивые NSы”. В случае dxdt.blog, имена NS-ов – в зоне dxdt.blog.
Соответственно, делегирующий ответ с такими именами обязательно содержит так называемые glue-записи – то есть, записи с информацией об IP-адресах NSов. Иначе рекурсивный опрос не будет работать, так как зациклится. Я об этом писал неоднократно, в том числе, про сложную рекурсию, связанную с перекрёстными зависимостями.
Например, сама зона .blog размещена на NS-ах с субординатными именами:
alex@garlic-crusher:~$ dig blog. -t NS @a.root-servers.net [...] ;; AUTHORITY SECTION: blog. 172800 IN NS a.ns.nic.blog. blog. 172800 IN NS d.ns.nic.blog. blog. 172800 IN NS c.ns.nic.blog. blog. 172800 IN NS b.ns.nic.blog. ;; ADDITIONAL SECTION: [...]
– здесь имена авторитативных серверов в ns.nic.blog., пусть для корневой зоны это и не имееет большого значения (см. ниже). Да, субординатные имена популярны, однако мне подобная схема именования не очень нравится. Другой вариант, из зон верхнего уровня, можно наблюдать в .ru:
alex@garlic-crusher:~$ dig ru. -t NS @a.root-servers.net [...] ;; AUTHORITY SECTION: ru. 172800 IN NS a.dns.ripn.net. ru. 172800 IN NS d.dns.ripn.net. ru. 172800 IN NS f.dns.ripn.net. ru. 172800 IN NS b.dns.ripn.net. ru. 172800 IN NS e.dns.ripn.net. ;; ADDITIONAL SECTION: [...]
Однако, если говорить строго, то окажется, что любое имя в глобальной DNS Интернета так или иначе связано с “субординатными” NS-ами: потому что в делегирующих ответах, в качестве основного состава, могут быть только хостнеймы – имена серверов, и в какой-то момент рекурсивного опроса DNS обязательно возникнет проблема “курицы и яйца”. Более того, в DNS наступление такой проблемы можно откладывать до уровня корневой зоны, но вот IP-адреса серверов корневой зоны – распространяются по рекурсивным резолверам тем или иным способом, отличным от DNS (исторически – это всем известный hints-файл), именно для того, чтобы система заработала при первоначальном запуске.
Комментировать »
Новый 