Глоссарий Enterno.io: DNS, SSL, HTTP, security
Разбираем ключевые термины веб-инфраструктуры простыми словами — с примерами и ссылками на инструменты для проверки. Обновляется еженедельно.
Безопасность 16
503 Service Unavailable: определение и применение
Коротко: 503 Service Unavailable — сервер временно не может обработать запрос. Причины: maintenance, перегрузка, downstream-сервис недоступен (БД, Redis, upstream API). Ответ долже…
Читать →CSRF: определение и применение
Коротко: CSRF (Cross-Site Request Forgery) — атака, где злоумышленник заставляет браузер жертвы отправить запрос на другой сайт с credentials жертвы (cookies). Защита: CSRF-токены …
Читать →DDoS атака: определение и применение
Коротко: DDoS (Distributed Denial of Service) — атака на доступность сервиса через перегрузку ресурсов (CPU, bandwidth, connections). Виды: SYN flood (L4), HTTP flood (L7), UDP amp…
Читать →HSTS: определение, синтаксис и примеры
Коротко: HSTS (HTTP Strict Transport Security) — заголовок, который заставляет браузер всегда использовать HTTPS для данного домена, даже если пользователь вводит http:// или клика…
Читать →HSTS Preload: определение, применение и примеры
Коротко: HSTS Preload — список доменов, встроенный прямо в браузеры (Chrome, Firefox, Safari, Edge). Все запросы на preloaded домены ВСЕГДА идут по HTTPS, даже при первом визите. З…
Читать →Что такое JWK
Коротко: JWK (JSON Web Key, RFC 7517) — JSON-представление cryptographic key (RSA, EC, AES). Используется в OAuth 2.0 и OpenID Connect для публикации public keys, которыми подписан…
Читать →Что такое OAuth 2.0
Коротко: OAuth 2.0 (RFC 6749) — стандарт делегированной авторизации: приложение А получает право действовать от имени пользователя в сервисе Б без передачи пароля. Не путать с ауте…
Читать →Что такое PKCE
Коротко: PKCE (Proof Key for Code Exchange, RFC 7636) — расширение OAuth 2.0, защищающее authorization code от кражи в public clients (SPA, mobile apps без secure storage). Клиент …
Читать →Rate limiting: определение и применение
Коротко: Rate limiting — ограничение числа запросов от одного клиента (IP, API key) в единицу времени. Защита от DDoS, brute-force, abuse. Стандартные реализации: token bucket (ngi…
Читать →Что такое Refresh Token
Коротко: Refresh token — долгоживущий токен (недели/месяцы), который client использует для получения новых коротких access_token без повторной аутентификации. Типичный flow: access…
Читать →SRI (Subresource Integrity): определение, применение и примеры
Коротко: SRI (Subresource Integrity) — защита от компрометации CDN. В <script src="..." integrity="sha384-..."> атрибут integrity содержит hash ожидаемого…
Читать →WAF: определение и применение
Коротко: WAF (Web Application Firewall) — фильтр на уровне приложения, который блокирует вредоносные HTTP-запросы: SQL-инъекции, XSS, path traversal, CSRF. Популярные решения: Clou…
Читать →Что такое WebAuthn и Passkeys
Коротко: WebAuthn (Web Authentication) — W3C стандарт (2019) для безпарольной аутентификации. Пользователь регистрирует "authenticator" (TouchID, Windows Hello, security key Yubike…
Читать →Webhook signing
Коротко: Webhook signing — механизм, при котором sender добавляет HMAC-подпись payload в HTTP header, receiver проверяет подпись по shared secret. Без signing любой, кто знает webh…
Читать →XSS: определение и применение
Коротко: XSS (Cross-Site Scripting) — уязвимость, позволяющая атакующему вставить JavaScript в страницу жертвы. Виды: Stored (в БД), Reflected (через URL), DOM-based (через JS). За…
Читать →Что такое Zero Trust
Коротко: Zero Trust — модель безопасности, заменяющая классический perimeter-подход ("внутри сети = доверенный"). Принципы: никакой пользователь, устройство или сервис не получают …
Читать →HTTP и API 12
Что такое CRDT
Коротко: CRDT (Conflict-free Replicated Data Types) — класс data structures, которые можно независимо обновлять на разных replicas и затем merge deterministically без conflict reso…
Читать →Что такое Edge Computing
Коротко: Edge Computing — паттерн, при котором код выполняется на ближайшем к пользователю узле (edge), обычно в datacenter CDN-провайдера в сотне km от клиента. Отличие от обычног…
Читать →Что такое GraphQL
Коротко: GraphQL — query language для API + runtime, разработан Facebook (2015). Один endpoint /graphql, клиент указывает какие поля нужны в response — нет over-fetching / under-fe…
Читать →Что такое gRPC
Коротко: gRPC (gRPC Remote Procedure Calls) — высокопроизводительный open-source RPC-фреймворк от Google (2015). Использует Protocol Buffers для сериализации (в 5-10× компактнее JS…
Читать →Что такое идемпотентность в API
Коротко: Идемпотентность — свойство операции давать одинаковый результат при одном или множественных выполнениях. В HTTP: GET/PUT/DELETE идемпотентны по RFC (повторный запрос не ме…
Читать →Что такое IndexedDB
Коротко: IndexedDB — встроенная в браузер NoSQL-база для хранения structured data (записи, blobs, files) на клиенте. Async API, transactional, поддерживает indexes, 100+ MB storage…
Читать →Что такое robots.txt
Коротко: robots.txt — текстовый файл в корне домена (/robots.txt), который указывает поисковым ботам какие URL обходить, а какие нет. Формат Robots Exclusion Protocol (REP, 2022 фо…
Читать →SLI / SLO / SLA
Коротко: SLI — measured metric (e.g. "response time p99"). SLO — target для SLI (e.g. "p99 < 200ms"). SLA — contractual commitment к клиентам (e.g. "99.9% uptime, otherwise refund"…
Читать →Что такое SSE
Коротко: SSE (Server-Sent Events, EventSource API) — стандарт потоковой передачи данных от сервера к клиенту через обычный HTTP. Client открывает GET к endpoint с Accept: text/even…
Читать →Что такое Token Bucket
Коротко: Token Bucket — алгоритм rate limiting, где "bucket" заполняется token-ами с постоянной скоростью (r tokens/sec). Каждый запрос потребляет 1 token. Если bucket пуст → rejec…
Читать →Что такое Webhook
Коротко: Webhook ("веб-хук") — механизм, при котором сервис А делает HTTP POST-запрос на ваш URL когда что-то происходит. Противоположен polling: вместо "вы спрашиваете каждые N се…
Читать →Что такое WebSocket
Коротко: WebSocket (RFC 6455) — протокол поверх TCP, обеспечивающий full-duplex bidirectional коммуникацию между браузером и сервером. В отличие от HTTP, соединение остаётся открыт…
Читать →DNS и домены 6
CAA запись: определение и применение
Коротко: CAA (Certificate Authority Authorization) — DNS-запись, которая указывает, какие CA имеют право выпускать SSL-сертификаты для домена. Предотвращает mis-issuance. С 2017 го…
Читать →CNAME запись: определение, синтаксис и примеры
Коротко: CNAME (Canonical Name) — тип DNS-записи, который превращает один домен в алиас другого. Например, www.example.com (CNAME) → example.com (реальный адрес). Браузер следует п…
Читать →DNSSEC: определение и применение
Коротко: DNSSEC (DNS Security Extensions) — цифровая подпись DNS-ответов, предотвращающая cache poisoning и DNS-hijacking. Использует chain of trust: root → TLD → domain. Валидация…
Читать →PTR запись (reverse DNS): определение, применение и примеры
Коротко: PTR (Pointer) — DNS-запись для обратного разрешения: по IP получить hostname. Хранится в зонах in-addr.arpa (IPv4) или ip6.arpa (IPv6). Критична для email — без корректног…
Читать →SRV запись: определение, применение и примеры
Коротко: SRV (Service) — DNS-запись, которая указывает hostname и порт для сервиса. Используется XMPP, SIP, Minecraft, Kerberos, LDAP. Формат: _service._proto.name TTL IN SRV prior…
Читать →Что такое TLD
Коротко: TLD (Top-Level Domain) — самая правая часть доменного имени (.com в example.com, .ru в enterno.ru). Управляется ICANN. Типы: gTLD (generic — .com, .org, .net), ccTLD (coun…
Читать →Производительность 5
Что такое Core Web Vitals
Коротко: Core Web Vitals — три пользовательские метрики, которыми Google измеряет качество UX и использует в ранжировании: LCP (Largest Contentful Paint — когда рисуется основной к…
Читать →Что такое p99 latency
Коротко: p99 latency — 99-й процентиль времени ответа: значение, выше которого находится 1% запросов. Показывает worst-case experience для (среднестатистически) одного из 100 польз…
Читать →Что такое React Server Components
Коротко: React Server Components (RSC) — компоненты, рендерящиеся исключительно на сервере, с zero JS bundle на клиенте. Доступ к БД, file system, secrets напрямую в компоненте (бе…
Читать →Что такое Server Actions
Коротко: Server Actions — feature Next.js App Router (stable с Next 14, 2023), async функции на сервере, вызываемые прямо из React компонентов (форма или button). Без необходимости…
Читать →Что такое Service Worker
Коротко: Service Worker — JavaScript-поток, работающий отдельно от страницы и перехватывающий network requests. Основа Progressive Web Apps: offline cache, push notifications, back…
Читать →SSL / TLS 4
Что такое mTLS
Коротко: mTLS (mutual TLS) — режим TLS, в котором не только сервер, но и клиент предъявляет сертификат. Сервер проверяет client cert против trusted CA list → принимает решение о до…
Читать →Что такое OCSP и OCSP Stapling
Коротко: OCSP (Online Certificate Status Protocol) — протокол проверки, не отозван ли SSL-сертификат. Без OCSP Stapling браузер сам делает запрос к OCSP-серверу CA — это +100-300ms…
Читать →SNI: определение, применение и примеры
Коротко: SNI (Server Name Indication) — расширение TLS, которое позволяет клиенту указать hostname в начале TLS-рукопожатия. Без SNI один IP-адрес не мог бы обслуживать несколько H…
Читать →TLS 1.3: определение и применение
Коротко: TLS 1.3 — 5-я версия протокола TLS (RFC 8446, 2018). Handshake в 1 RTT (быстрее чем TLS 1.2 — 2 RTT), forward secrecy обязательна, удалены слабые ciphers (CBC-mode, RC4). …
Читать →IP и сеть 3
CDN: определение и применение
Коротко: CDN (Content Delivery Network) — распределённая сеть edge-серверов, кэширующих статику ближе к пользователю. Уменьшает latency, снижает нагрузку на origin, защищает от DDo…
Читать →IPv6: определение, применение и примеры
Коротко: IPv6 — 6-я версия Internet Protocol. Адрес 128 бит (2001:db8::1) вместо 32 бит у IPv4. Решает проблему исчерпания IP-адресов. В DNS используется AAAA запись. Поддерживаетс…
Читать →NTP: определение, применение и примеры
Коротко: NTP (Network Time Protocol) — протокол синхронизации времени в сетях. UDP порт 123. Stratum 0 (атомные часы) → Stratum 1 (public NTP servers) → downstream. Критично для TL…
Читать →Прочее 22
Load balancer: определение и применение
Коротко: Load balancer — распределяет входящий трафик между backend-серверами. Уровни: L4 (TCP/UDP по IP:port) и L7 (HTTP с маршрутизацией по URL/headers/cookies). Алгоритмы: round…
Читать →MIME type: определение и применение
Коротко: MIME type (Media Type) — формат контента, передаваемый в заголовке Content-Type. Примеры: text/html, application/json, image/jpeg. Определяет как браузер обрабатывает отве…
Читать →Reverse proxy: определение и применение
Коротко: Reverse proxy — прокси-сервер, стоящий перед backend-серверами и принимающий запросы от клиентов. Типичные задачи: SSL termination, load balancing, caching, compression, r…
Читать →Anycast: определение и применение
Коротко: Anycast — метод маршрутизации, где один IP-адрес anycast обслуживается несколькими серверами в разных геолокациях. BGP выбирает ближайший (по network metrics) для каждого …
Читать →PoP (Point of Presence): определение и применение
Коротко: PoP (Point of Presence) — физическая точка присутствия провайдера или CDN в географическом регионе. CDN с 300+ PoP обеспечивает низкую latency глобально: клиент подключает…
Читать →BGP: определение, применение и примеры
Коротко: BGP (Border Gateway Protocol) — протокол маршрутизации между автономными системами (ASN) в интернете. Каждый крупный ISP публикует, какие префиксы IP-адресов он обслуживае…
Читать →CORS: определение, синтаксис и примеры
Коротко: CORS (Cross-Origin Resource Sharing) — механизм браузерной безопасности, который контролирует запросы с одного домена на другой. Сервер через заголовок Access-Control-Allo…
Читать →CORS preflight: определение, применение и примеры
Коротко: CORS preflight — OPTIONS-запрос, который браузер отправляет перед "сложным" cross-origin запросом (нестандартные заголовки, методы PUT/DELETE). Сервер должен отв…
Читать →CSP: определение, синтаксис и примеры
Коротко: CSP (Content Security Policy) — HTTP-заголовок, который защищает сайт от XSS. Декларирует whitelist источников скриптов, стилей, изображений, fonts. Современный CSP исполь…
Читать →DKIM: определение и применение
Коротко: DKIM (DomainKeys Identified Mail) — криптографическая подпись email, добавляемая отправителем. Публичный ключ публикуется в DNS (селектор._domainkey.example.com), приватны…
Читать →Что такое DMARC
Коротко: DMARC (Domain-based Message Authentication, Reporting and Conformance) — политика, указывающая почтовым серверам, что делать с письмами, которые не прошли SPF или DKIM. Пу…
Читать →HTTP/2: определение и применение
Коротко: HTTP/2 — 2-я версия HTTP с мультиплексированием (один TCP-connection для множества запросов), header compression (HPACK), server push. Базируется на SPDY от Google. Поддер…
Читать →HTTP/3: определение и применение
Коротко: HTTP/3 — 3-я версия HTTP, работающая поверх QUIC (UDP). Решает head-of-line blocking проблему HTTP/2. Быстрее восстанавливается после потери пакетов, лучше для mobile. Под…
Читать →IndexNow: определение и применение
Коротко: IndexNow — протокол (Bing + Yandex), которым сайт уведомляет поисковики об обновлении URL. POST к api.indexnow.org с URL + key. Переиндексация за минуты вместо часов. Подд…
Читать →sitemap.xml: определение и применение
Коротко: sitemap.xml — XML-файл со списком всех канонических URL сайта для поисковиков. Содержит loc, lastmod, changefreq, priority. Лимит: 50 000 URL / 50 MB на файл. Для больших …
Читать →JWT: определение и применение
Коротко: JWT (JSON Web Token) — компактный cryptographic-токен из трёх base64-частей через точки: header.payload.signature. Содержит claims (user_id, roles, exp) подписанные HMAC и…
Читать →MTU: определение, применение и примеры
Коротко: MTU (Maximum Transmission Unit) — максимальный размер пакета, который может быть передан без фрагментации. Стандарт Ethernet — 1500 байт, PPPoE — 1492, VPN — обычно 1400-1…
Читать →MX запись: определение, синтаксис и примеры
Коротко: MX (Mail Exchange) — тип DNS-записи, который указывает почтовые серверы для домена. Содержит приоритет (меньшее число = выше приоритет) и hostname почтового сервера. Если …
Читать →nginx vs Apache: определение и применение
Коротко: nginx и Apache — два топ-web-сервера. nginx — event-driven, async, быстрее для static и reverse-proxy, меньше RAM. Apache — process-per-request, гибче через .htaccess, луч…
Читать →Redirect chain: определение и применение
Коротко: Redirect chain — цепочка 301/302 редиректов для одного URL. Пример: http://example.com → https://example.com → https://www.example.com → https://www.example.com/. Длинные …
Читать →SPF: определение и применение
Коротко: SPF (Sender Policy Framework) — TXT-запись DNS, в которой владелец домена декларирует, с каких IP разрешена отправка почты от его имени. Пример: "v=spf1 include:_spf.…
Читать →TTL: определение и применение
Коротко: TTL (Time to Live) в DNS — количество секунд, сколько резолверы кэшируют DNS-запись перед повторным запросом. Типичные значения: 300 (5 мин — для часто меняющихся), 3600 (…
Читать →