Hej,

drobna ciekawostka, byc moze nie dla wszystkich.
Systemy bankowe (konkretnie dostep do nich przez WWW z inetu):
.. mbank
.. fortis

uzywaja prawdopodbnie sprzetu (!) lub oprogramowania (chodzi mi o
urzadzenia przylaczajace do sieci: routery/firewalle) nie zgodnego z
sygnalizacja TCP ECN. Przy czym o ile samo ECN jest na tyle nowe ze nie
dużo elementów je w pełni wspiera, o tyle w tych dwóch (może też w
innych) bankach sa urządzenia które na ECN się zatykaja! Objaw jest taki
ze do tych bankow dostać się nie można.

Problem nie jest szeroki, gdyż ECN domyślnie włączone jest m.in. tylko w
niektórych nowych kernelach linuxa, a i tak większość osób za to
odpowiedzialnych za serwery ma świadomość tego że znajdują się jeszcze
gdzieś takie 'kwiatki' jak mbank i fortis przezornie to wyłączają
(szkoda że tracąc możliwosci jakie daje ECN).

W każdym razie pomaga oczywiście wyłączenie
(Linux: echo "0" > /proc/sys/net/ipv4/tcp_ecn)
a dotyka to nas tylko wtedy jeśli np. korzystamy z usług proxy providera
którego to proxy stoi na Linuxie i ma włączone ECN. Lub też oczywiście
jeśli sami korzystamy bezpośrednio z systemu z włączonym ECN.

Z ciekawostek, fortis był nawet zainteresowany w te sprawe, i
oddelegowani specjaliści badali problem op stronie swojej jak i klienta
(uzyskali dostęp), jednak nie byli tego w stanie zlokalizować :-))))

--
radoslaw.

do góry

On Thu, Feb 07, 2002 at 10:30:40AM +0000, Radek Stachowiak wrote:

> uzywaja prawdopodbnie sprzetu (!) lub oprogramowania (chodzi mi o
> urzadzenia przylaczajace do sieci: routery/firewalle) nie zgodnego z
> sygnalizacja TCP ECN. Przy czym o ile samo ECN jest na tyle nowe ze nie
> dużo elementów je w pełni wspiera, o tyle w tych dwóch (może też w
> innych) bankach sa urządzenia które na ECN się zatykaja! Objaw jest taki
> ze do tych bankow dostać się nie można.

Nie. ECN jest z tego punktu widzenia troche zbyt nowe. Uwazam ze nie
ma znadnej winy po stronie ani mbanku ani fortisa ze nie obsluguja,
choc fajnie by bylo jak by zaczeli. Szkoda natomiast wielka ze nie
umieli tego namierzyc ;-(

> Z ciekawostek, fortis był nawet zainteresowany w te sprawe, i
> oddelegowani specjaliści badali problem op stronie swojej jak i klienta
> (uzyskali dostęp), jednak nie byli tego w stanie zlokalizować :-))))

O, ostatnie zdanie mialo byc tutaj ;-)

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

In article <2...@d...pingwin.waw.pl>, Wojtek Piecek wrote:
>> uzywaja prawdopodbnie sprzetu (!) lub oprogramowania (chodzi mi o
>> urzadzenia przylaczajace do sieci: routery/firewalle) nie zgodnego z
>> sygnalizacja TCP ECN. Przy czym o ile samo ECN jest na tyle nowe ze nie
>> dużo elementów je w pełni wspiera, o tyle w tych dwóch (może też w
>> innych) bankach sa urządzenia które na ECN się zatykaja! Objaw jest taki
>> ze do tych bankow dostać się nie można.
>
> Nie. ECN jest z tego punktu widzenia troche zbyt nowe. Uwazam ze nie
> ma znadnej winy po stronie ani mbanku ani fortisa ze nie obsluguja,
> choc fajnie by bylo jak by zaczeli. Szkoda natomiast wielka ze nie
> umieli tego namierzyc ;-(

hmmm, tyle ze to jest tak:
1. wsparcie dla ECN
2. brak wsparcia, ale nie robi problemow
3. glupieje odrzucajac pakiety

rozumiem ze 1. wymagac nie mozna. ale co innego, ignorowac nieznane
ECN w pakietach (2) a co innego powodowac ze ruch ustaje!
a w trybie (2) dziala na oko 90% internetu jakos sobie z tym radzac.

tak wiec wina chyba jednak jest po ich stronie.

--
radoslaw.

do góry

On Thu, Feb 07, 2002 at 04:37:58PM +0000, Radek Stachowiak wrote:

> hmmm, tyle ze to jest tak:
> 1. wsparcie dla ECN
> 2. brak wsparcia, ale nie robi problemow
> 3. glupieje odrzucajac pakiety
>
> rozumiem ze 1. wymagac nie mozna. ale co innego, ignorowac nieznane
> ECN w pakietach (2) a co innego powodowac ze ruch ustaje!
> a w trybie (2) dziala na oko 90% internetu jakos sobie z tym radzac.

Nie, o ile pamietam to stosowanie ECN moze powodowac ze z takim hostem
(stosujamym ECN) sie nie dogadasz. Poza tym (z pamieci - dyskusja
kiedys byla prowadzona na liscie kernelowej linuxa) to jest
extension. Nie mam czerwonej ksiazeczki, wiec sprawdzic nei moge, ale
ECN w protokole chyba nie jest zdefiniowane.

> tak wiec wina chyba jednak jest po ich stronie.

Nie, twierdze ze nie. Ale postaraj sie mnie przekonac twierdzac
inaczej ;-)

Ja poszukam na ile faktycznie stosowanie ECN psuje protokol.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

In article <2...@d...pingwin.waw.pl>, Wojtek Piecek wrote:
>
> Nie, o ile pamietam to stosowanie ECN moze powodowac ze z takim hostem
> (stosujamym ECN) sie nie dogadasz. Poza tym (z pamieci - dyskusja
> kiedys byla prowadzona na liscie kernelowej linuxa) to jest
> extension. Nie mam czerwonej ksiazeczki, wiec sprawdzic nei moge, ale
> ECN w protokole chyba nie jest zdefiniowane.
>
> Ja poszukam na ile faktycznie stosowanie ECN psuje protokol.

nie bede sie spieral bo pewny tez nie jestem, ale chyba bylo tak ze nie
psuje (tzn wykorzystuje, bity reserved) a fakt nie dogadania sie jest
spowodowany tym ze wlasnie jeden ma zla implementacje stosu.
Ale jak znajdziesz daj znac, z checia sie dowiem jak jest na pewno.


--
radoslaw.

do góry

On Fri, Feb 08, 2002 at 04:45:48PM +0000, Radek Stachowiak wrote:

> nie bede sie spieral bo pewny tez nie jestem, ale chyba bylo tak ze nie
> psuje (tzn wykorzystuje, bity reserved) a fakt nie dogadania sie jest
> spowodowany tym ze wlasnie jeden ma zla implementacje stosu.
> Ale jak znajdziesz daj znac, z checia sie dowiem jak jest na pewno.

Powiem tak:

. problem zglosilem do multibanku, razem z rfc i opisem pobieznym
problemu
. kwestia tego co filtrujemy polega na tym ze ze wzgledu na pewne
bity reserved firewall (dobry) powinien nie przepuszczac pakietow
ktore ich uzywaja bo po drugiej stronie (sieci wew) moga robic rzeczy
niefajne. I ja to naprawde rozumiem. Druga sprawa to nadazanie za
swiatem.

Ale proponuje poczekac na odpowiedz.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry