HTTP/2: скорость против безопасности
В качестве меры для ускорения загрузки веб-страниц я рекомендовал переключиться с HTTP1.1 на протокол HTTP/2. И только сегодня, по моему опыту, начиная с повышения уровня HTTP/2, я слышал в качестве аргументацию о том, что не нужно переключаться на HTTP/2, что
HTTP/2 не был бы достаточно безопасным и имел бы такие серьезные проблемы с безопасностью, что любое повышение скорости было бы не заслуживающим внимания.
В качестве источника этих мыслей у меня есть эта статья.
Мое состояние информации не позволяет мне судить о том, насколько вескими являются риски, упомянутые в этой статье. Я могу предположить, что они довольно редкого характера - это всего лишь предположение, основанное на моем собственном мониторинге специальных средств массовой информации о производительности веб-сайта, что может быть (очень) нелепым.
Может ли кто-нибудь объяснить мне:
- что вообще о проблемах безопасности HTTP/2?
- Достаточно ли этих проблем, чтобы не переключаться на HTTP/2?
1 ответ
HTTP2 является новым, поэтому вполне может иметь проблемы с безопасностью. Скорее всего, с плохими реализациями, чем сам протокол.
HTTP / 1.1 старый и проверенный в бою. И, безусловно, есть проблемы, несмотря на это. Некоторые из них являются уязвимостями в протоколе (например, будучи текстовыми, а не двоичными, можно использовать разбиение / контрабанду заголовков HTTP, чтобы обмануть веб-серверы), и многие другие из-за реализаций.
Так что я бы сказал, что ни один не является безопасным. В Интернете нет ничего. И не выходя из дома:-)
Я не думаю, что проблемы с безопасностью являются причиной задержки обновления до HTTP/2, и во многих отношениях (см. Пример выше) он более безопасен, чем HTTP/1.1. Сказать, что основной целью HTTP/2 было повышение производительности, а не безопасности.