> сиюминутную задачу максимально быстро и грязно.Не отменяет кучи дурных атак на сам протокол, вплоть до того что атакующий мог убедить клиент и сервер юзать небезопасные алгоритмы элементарным даунгрейдом протокола.
Иногда скелетов в шкафу надо выкидывать. И в коде и в протоколе, коли уж сразу сделать не смогли. А потом такие как ты прикольно кипишуют когда почему-то народ с радостными воплями выкидывает опенвпн и прочие айписеки в пользу вайргада, про которого торвальц сравнив размер кода выдает "work of art" :D. Вот SSL/TLS давно просится на ту же участь.
> нет hearbeat - нет проблемы, да?
Да. Без этой фичи вполне можно жить и поэтому совершенно ни к чему запихивать ее вообще всем в дефолтную реализацию протокола на всякий случай. Потому что потом приходит какой-то хрен и делает фиг знает чего. Крипто это не то место где надо наваливать кал и костыли про запас.
> Ну так у тех у кого вообще http без ненужно-шифрования там где оно действительно не нужно -
> тоже ничего не болит.
Тут на самом деле трудно угадать где оно реально не нужно. Разве что в твоем интранете, при уверенности что он целиком под твоим контролем и никто не хулиганит. В остальных случаях креативно настроенные блэкхэты подкинут море интереснейших сюрпризов.
> белки-истерички не могут не метаться.
Ну как, делать из чужих проблем свои непонятно ради чего желающих тоже мало. Если авторы бакланят в безопасности - что ж теперь поделать? Майнеры из систем раз в месяц вынимать? Это не прикольно.
> ну вот пользователи gnutls'нутых поделок уже убедились что нет, не могут.
Да там и с openssl черт знает что. Ну вон ирц клиент. А теперь удачи понять как и кому он такой доверяет, допустим, вообще. Ну вот такой протокол что в лучшем случае это можно одуплить только будучи экспертом в вон той мегалибе, перечитав горы кода. Без этого все просто не гарантировано.
