> Зато протокол может поубавить их число и влияние на перфоманс.

Вы отстали, там уже всё лишнее давно срезали.

> Это жрет больше системных ресурсов и генерит больше пакетов, и в целом таки работает хуже.

Жрёт больше, работает лучше.
У вас помимо боязни багов ещё фобия до использования системных ресурсов :)

> Cold blooded fact: h2 в мониторе сети моего браузера

То что кто то включил на сервере http/2 не означает что это было решение принятое на основании каких либо изысканий, считай обдуманное и обоснованное.

> Ему кое-что другое надо было - user experience в их сервисах. Чтобы остальных задвинуть чисто технологически.

Гуглаг - монополист, юзерэксперинс в данном контексте им бы прибыли не принёс, там его два процента приросло и то если правильно считать. Они посчитали деньги и не смогли отказатся.
Так же как до того они возможно увидели тенденцию что рекламу вырезать на обычном http проекси очень легко и начали всех натягивать на TLS.

> Можно. Но лучше не нужно. Ибо 99.9% что там будут жесткие вулны пачками. Поэтому ценность этой наколени равна нулю.

Чувак, мне надо чтобы оно работало, а не чтобы оно было мифически безопасным.
Тема с shell script http клиентом она тоже не с потолка в моей голове взялась, это костыль который мне нужен был в одном из сценариев того что я изредка делаю.
Настолько редко и в таких условиях что при всём желании эксплуатация мифических уязвимостей имеет огромную отрицательную стоимость.
(это нужно было одно время когда я рутовал андройды чтобы скачать пару файлов, включая opkg, который дальше уже сам качал).

> Пока хаксор не пришлет ../../../../etc/password твоему серваку :)

И!?
Я не буду вырезать это, я просто сделаю:
www_root = open("/usr/local/www")
user_file = openat(www_root, requested_url);

> Откуда и CVE пачками, собссно.

Просто у вас психическое расстройство, я не шучу.
Плевать на CVE, единственное что имеет смысл это положительное соотношение: профита/негатива.
Как в денежном так и на уровне восприятия. Но в отсновном в деньгах считают.
Вот вы сидите и боитесь CVE и ошибок, а я сижу и пишу код чтобы он решил мои насущные проблемы, и мне без разницы какие там будут ошибки - потому что ошибки я исправлю когда они найдутся, главное чтобы оно делало то что мне надо.

> ("Request Smuggling") ведущий к тому что запрос от левого атакуюшего подошьется к легитимному юзерскому - не очень древнее направление. И вон то один из топиков. В H1 вообще есть мест которые они могут понять по разному.

Вы бы читали и понимали прочитанное для начала.
Это про различные интерпретации заголовков и их последовательностей.
В частности там была особенность что одни реализации воспринимают первый попавшийся заголовок а другие последний (повторяющийся заголовок), и потому идёт различная интерпретация.
А переводы строк - это древняя древнота, по стандарту CRLF, на остальное можно забить, при этом для парсера при встрече с запросом в котором только LF он будет не валидным.

> Разве что HPACK - но он имеет свои причины, глупо постоянно передавать одно и то же. А на миллионах запросов это превращается в дофига трафа.

На фоне той же бесполезной рекламы, отвратительных трекеров, корявых жабаскриптах и прочем мусоре который генерит современная веб индустри эти заголовки даже не 0,0001% трафика.
Вы опять решаете проблемы которой нет.