A szalmababozast te kezdted. Max a szemelyeskedest kezdtem en.
Hol is?
Nekem van ervem, es te jossz "20 ev tapasztalat" authoritasaval, mint "erv".
Mármint arra való reakcióként, hogy én biztos hülye vagyok, és nincs hozzá fantáziám
De ha mar ekkora pofad volt, hol a peldad, hogy mikor okozna katasztrofat onmagaban a kesobb bekapcsolt HSTS?
Nem nem, nem fordítjuk meg a bizonyítást :) Azt már magad is elismerted, hogy a HSTSnek alapvetően működni kellene, mindössze annyit mondtál, hogy "honapokkal, vagy esetleg hetekkel a release utan." lesz ciki, ha nincs, szóval légyszíves hozz értelmes indokot arra, hogy az első hetekben-hónapokban miért ér?
Megpróbálom összeszedni:
- Nem az ido a lenyeg, hanem az, hogy onnan nincs visszaut. Nem erdemes azt elkapkodni. - ebben érv nincs, egy ténymegállapítás van, hogy aki egyszer látta, annak ezentúl httpn kell szolgáltatni
- Ha nem futottal bele, miert baj azt elkapkodni, nehez elmagyarazni, hogy miert baj azt elkapkodni. - ez szintén semmi, csak nagypofájú magas lóról észosztás
- ha tobbminden van odaproxy-zva es valami nem https vagy nem ugy https - miért gondolod, hogy normális, hogy nem tudja aki csinálta, hogy mi van odaproxyzva? Miért lenne bármi, ami http eleve, itt mindennek mindig httpsnek kellett volna lennie, és ez egy zöldmezős cucc. Mi az, hogy nem úgy https?
- maris jon a szivas, hogy "ez mar igy permanens". Nincs visszaút. - ez ugyanaz, mint az első
- Ha nem erted, hogy ez hol baj, nincs meg az ezen szakmahoz szukseges fantaziad. Pont. - ez megintcsak a nagypofájú, magas lóról észosztás
- Microservice-ek vilagaban? Az azert egy kicsit tulzas. - miért? A microservicekről nem kell tudni, hogyan vannak? Eleve, nincs kitalálva rendesen, hogy a public facing domainre hogy van https? Nincs se egy LB, se egy ingress? És még azt se tudjuk milyen microserviceink vannak? Hogy jön ebből ki, hogy nincs kész, ha ezt nem tudod?
- mert a tesztkornyezetekben is mas tanusitvanyok vannak, - és? ez mennyiben érinti a HSTS-t? Eleve, a tesztkörnyezet, ami nem az éles domainen fut, hogy jön ide? És majd pár hét múlva meg ez már nem lesz baj, valahogy elmúlik?
- ha van egyaltalan https. - komolyan az volna a kifogás, hogy nem tudunk https-t tenni a tesztkörnyezetbe? És majd pár hét múlva meg ez már nem lesz baj?
- Fogalmad sincs hogy mukodik nehany projekt a valosagban. Akar egy tucat code ownerrel, akik kulonbozo cegek, kulonbozo belso policy-kkel. - ez már megintcsak nettó semmi
- Es ebbol hany olyan volt, hogy az osszekapcsolodo projekt egyik felen ertett hozza a csapat, a masik meg egy subpath-t se tudott rendesen tesztelni, se egy CORS-os cookie-t ugy megcsinalni, hogy ne csak a tesztszerveren mukodjon, es hetekig ult egy ilyen issue-n? - ezzel meg mint már említettem, valójában nem cáfolsz, hanem megerősítesz :)
Szóval, van valami valódi, elfogadható érv arra, hogy a dap.gov.hu-n pár hétig ne legyen HSTS, mert valaminek httpn kell menni? (Teszem hozzá, end user browser felől, mert valójában a mindenféle backend baszásoknál ez körkörösen nem játszik)