> RTT вещь фундаментальная и зависит от скорости света в конкретных средах +
> времени обработки в куче железок по пути а не от протокола.

Зато протокол может поубавить их число и влияние на перфоманс.

> Head Of Line Blocking - тоже нет, просто вместо одного соединения их
> обычно штук до 10 приходит от одного клиента на один сервер и это нормально.

Это жрет больше системных ресурсов и генерит больше пакетов, и в целом таки работает хуже.

> "весь топовый крупняк который интересовал User Experience" - и если посмотреть
> то там один только гуголь,

Cold blooded fact: h2 в мониторе сети моего браузера (я иногда еще и дебажу запросы!) светится в практически ВСЕМ, ну вот кроме опеннета. Что хочешь то и делай. Ну пусть t.me - морда телеги. H2 во все поля. И так куда ни ткни.

> которому это всё было надо ровно для того чтобы он мог списывать рекламные бюджеты

Ему кое-что другое надо было - user experience в их сервисах. Чтобы остальных задвинуть чисто технологически.

> это принесло гуглу на ровном месте совершенно легально.

Если кто не в курсе, пуш дропнули как фичу стандарта.

> "HTTP/1.1 вулнов еще и поболее было" - это только вас заботит.

Я не намерен разводить двойные стандарты в оценке технологий.

> Мне же достаточно того что оно работает, что накидать свой клиент можно
> хоть на shell script, ровно как и сервер, и что отлаживать

Можно. Но лучше не нужно. Ибо 99.9% что там будут жесткие вулны пачками. Поэтому ценность этой наколени равна нулю. А файло разово перекинуть можно и неткатом/ssh или даже просто bash (/dev/tcp) или что там у кого. Выписывать для этого недореализацию HTTP и избыточно и ни к чему хорошему не ведет.

> это легче лёгкого ибо текст разбирать можно глазками в отличии от
> бинарных данных.

Угу. Пока хаксор не пришлет ../../../../etc/password твоему серваку :). В этом месте Джо начнет догадываться что писать НОРМАЛЬНЫЙ сервер нифига не просто и не легко. И такого счастья там более 9000 наименований. Половина из коего в H1 как раз из-за работы с строками и того что ваше понимание этого вопроса совсем не факт что совпало с идеями клиента, вон того прокси/бэка и ушлого хаксора. Откуда и CVE пачками, собссно.

> "например на разной трактовке разным софтом переводов строк" - это было очень
> очень давно, наверное до вашего рождения :)

Да вообще-то такой десинк фронта и бэка ("Request Smuggling") ведущий к тому что запрос от левого атакуюшего подошьется к легитимному юзерскому - не очень древнее направление. И вон то один из топиков. В H1 вообще есть мест которые они могут понять по разному.

> "ресурсных атак на него - немеряно во всех ипостасях" - и? оно
> давно изучено и порезано лимитами.

И там списочек так то - весьма длинный. Ну и тут вот - изучают, вот. Сам H2 так то не сказать что вот прям сложный. Разве что HPACK - но он имеет свои причины, глупо постоянно передавать одно и то же. А на миллионах запросов это превращается в дофига трафа.