No, ono to smysl má... adminovi je to typicky jedno, tohle je přání zákazníka... svý opodstatnění to má - když se povolí jenom HTTP(S), tak to většině lidí stačit bude a zase rázem jedno 802.11b apčko utáhne 30 lidí, pač na tom nikdo nebude tahat torrenty... ano - ono to velice snadno obejít jde, ale těch lidí, co to zvládnou, je tak málo, že je to fuk... Tím to nechci obhajovat, jenom říkám, že nějaký význam podobně blbánské omezení má...

Máš pravdu. Ale naznačím můj pohled na současnou situaci, kdy autor aplikace využívající "internet", pokud má zájem o co největší použitelnost, musí počítat s tím, že bude povolena jen odchozí komunikace na portech 80 a 443. V současnosti se to zdá jako absurdní a nesmyslný stav, který do této oblasti IT zanáší neefektivitu.

Představ si, že máš např. WiFi síť ve škole nebo třeba v nějaké restauraci. V prvním případě ještě obvykle lze identifikovat jednotlivé uživatele, v tom druhém a dalších podobných už reálně ne. V takovéhle "volné" síti reálně začne docházet k různým problémům: někdo si pustí bittorrent a zahltí celou linku, někdo má zavirovaný PC a rozesílá spamy nebo z něj jdou všelijaké útoky, někdo používá všelijaké P2P sítě a sdílí autorsky chráněný obsah.

Pak administrátor řeší abuse reporty od IFPI, které třeba v akademické síti nelze ignorovat, zve si na disciplinární pohovory lidi, kterým absolutně není možné vysvětlit, že udělali něco špatně (zejména humanitně zaměřená část lidí tohle nechápe a těžko pochopí). I s normálním ISP budeš mít problémy, pokud se z tvé sítě budou valit útoky. Může se takové chování trestat, ale jednodušší pro obě strany je zařídit, aby se výstyt takových problémů minimalizoval. Není to případ komerčních ISP, ale podobných situací, které jsem uvedl, kde uživatelé naprosto nejsou v pozici, kdy by si mohli něco diktovat.

Dnes je první a nejjednodušší řešení zablokovat příchozí komunikaci, a pro odchozí spojení nechat jen to nejnutnější. Neumím říct, jak se to stalo, ale dnes 99% lidí nepozná, když se nechají otevřené jen porty 80 a 443. Je to asi důsledek vývoje v posledních pár letech, kdy se tomu běžné aplikace začly přizpůsobovat. Nikdo to takhle asi neplánoval, že budeme simulovat spojení přes HTTP, nikdo to ani centrálně nenařídil, nevidím ani nějaký jeden zásadní důvod.

Že jde přes HTTPS něco tunelovat reálně není až takový problém. Pak už si tunelující vystupuje pod IP adresou jiné sítě, a je to problém někoho jiného. Až se začne port 443 masivně využívat třeba pro P2P sítě, tak se objeví jiná řešení, zatím se to neděje. Prostě i tady jako jinde v oblasti internetu se prosazují pragmatická řešení, na ideály není prostor.

Jiná je situace u placené služby (přístup k internetu, za který platím ISP), tam by pro mě bylo jakékoliv filtrování problém. I když taková blokace odchozího portu 25 a povolení na žádost (nebo na dotaz při uzavření smlouvy), by dost pomohla proti SPAMu. Často ale lidé používají internet tam, kde jsou zavedena omezení, a oni to nemohou ovlivnit. A omezením, které v takových sítích bývají, se přizpůsobují aplikace jako Skype a vyvíjí se kvůli nim řešení typu WebSockets.

    Firefox chce zapsat do ~/downloads/blah.
            [Povolit]   [Zamítnout]
[ ] vždy povolit Firefoxu zápis do ~/downloads/