Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
HTTP/3 już za rogiem – Cloudflare uruchamia wsparcie na swoich serwerach
Protokołu HTTP/1.x używa każdy. Jednak tworzony był on lata temu, momentami nie jest więc zbyt optymalny jeśli chodzi o prędkość (delikatnie rzecz ujmując). Jako odpowiedź na ten problem powstał HTTP/2 – tak, też w tym przypadku mamy na sekuraku dostępny dość rozbudowany poradnik :) W dużym skrócie – mamy tutaj jedno połączenie TCP, którym przesyłane są żądania i odpowiedzi (w tzw. strumieniach). Nieco upraszczając, HTTP/2 to zwykły HTTP tylko z zupełnie inaczej zorganizowanym transportem. Wszystko pięknie, tylko gdy zostanie zgubiony jakiś pakiet (puryści pewnie powiedzieliby: segment) TCP, cała komunikacja czeka na naprawienie tego błędu (= nici z równoległych transmisji).
Stąd trwające już długo prace nad HTTP/3 bazującym na protokole QUIC (wykorzystującym UDP). Prace są na tyle zaawansowane, że Cloudflare właśnie ogłosił wsparcie dla HTTP/3 na swoich serwerach. Czeka nas więc mała rewolucja polegająca na całkowitym porzuceniu wydawałoby się kluczowego protokołu TCP. Wygląda to mniej więcej tak:
Ma być szybciej, bezpiecznie (obowiązkowy TLS 1.3+), choć prace standaryzacyjne jeszcze trwają. Jak ze wsparciem w przeglądarkach? Na razie jest eksperymentalne, choć ostatnio rozmawiać z wykorzystaniem HTTP/3 potrafi nawet curl. Są też pewne minusy – obciążenie procesora na serwerze obsługującym HTTP/3 jest sporo większe w porównaniu z HTTP/2 (obsługa UDP zazwyczaj nie jest zoptymalizowana w systemach operacyjnych tak dobrze jak obsługa TCP), zapewne wystąpią też problemy z WAF-ami (co było i bywa nadal problemem w przypadku HTTP/2). Warto też pamiętać, że raczej nikt nie będzie na tyle szalony żeby obsługiwać tylko HTTP/3 (bez równoległego wsparcia dla HTTP/1 czy HTTP/2).
–ms
Duży minus to problemy z filtrowaniem ruchu na firewallach. Dlatego podejrzewam, że przejście na http/3 może być równie błyskawiczne jak przejście na ipv6.
A’propos WAF-ów i nie tylko – widzę tu w pierwszym rzędzie potencjał do omijania zabezpieczeń i ciekawe, w ilu przypadkach uda się to wykorzystać, zanim ludziki dowiedzą się, że ich serwery już wspierają HTTP/3? (Tym bardziej, że WAF daje złudne wrażenie, że można w mniejszym stopniu dbać o bezpieczeństwo samej aplikacji, bo przecież.. stoi za WAF-em). :D
SCTP ma OOTB wsparcie dla strumieni. Ciekawe, czy wygrały względy popularności czy poprawności (implementacje SCTP są dziurawe jak sito i pewnie jeszcze długo będą).
To może przy okazji ograniczycie ilość białego na stronie? Czuję się, jakbym z lampy czytał;)
Cześć,
sformułowanie „nie jest więc zbyt optymalny” jest nieprawidłowe, bo przymiotnika „optymalny” się nie stopniuje – albo coś jest optymalne, albo nie jest – nie ma nic pomiędzy! ;-)