Prace nad standardem HTTP/2 dobiegły końca

19 lutego 2015, 10:14 | Aktualności | komentarzy 7
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Obecna wersja protokołu HTTP/1.1, z 1999 roku zostanie niedługo zastąpiona wersją HTTP/2.

Jak donosi Mark Nottingham z zespołu IETF – HTTP Working group, standard HTTP/2 został właśnie zaakceptowany przez The Internet Engineering Steering Group i czeka na publikację z odpowiednim numerem RFC.

Sam HTTP2 jak można się domyśleć przynosi sporo zmian, w tym przede wszystkich dużych zmian wydajnościowych – pisaliśmy o tym na sekuraku przy okazji protokołu SPDY (odcinek 1. oraz odcinek 2.), na którym zresztą HTTP2 mocno bazuje.

W Chrome, obsługa HTTP2 zacznie być stopniowo implementowana w najbliższych tygodniach, w IE dostępna jest w wersji 11 (na Windows 10), a Firefox też nie pozostaje w tyle.

FAQ dotyczące HTTP2 można znaleźć tutaj, a skrótowa lista nowości w HTTP2 dostępna jest tutaj.

I są w niej np. rzeczy które mniej cieszą:

One of the nice things about HTTP/1 is the ability to open up telnet, type in a request (if the server doesn’t time out!) and then look at the response. This won’t be practical in HTTP/2, because it’s a binary protocol.

Ale spokojnie, na pewno wyjdzie patch na klienta telnet ;-)

Nowy standard nie poświęca bardzo dużo uwagi bezpieczeństwu, chociaż np. wymagany będzie TLS 1.2.

Jak to z kolei bywa z nowymi technologiami – choćby HTML5 (patrz u nas – bezpieczeństwo HTML5 – część 1. część 2. część 3.) czy nowym Javascriptem, również i tutaj można spodziewać się otworzenia na nowe typu ataków.

Z kolei deweloperzy webowi zapewne będą działać zgodnie ze strategią byle-by-działało (kilka wyzwań z HTTP2 – z perspektywy dewelopera – opisanych jest tutaj), podobnie jak to ma miejsce w aplikacjach mobilnych.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Mnie właśnie najbardziej martwi utrudnione diagnozowanie, bo ani ngrep nic nie pokaże, ani właśnie telnet. Ale po wprowadzeniu systemd, to binarny HTTP nie dziwi ;)

    Odpowiedz
  2. Comandeer

    Jak dla mnie nie zmieni się praktycznie nic… A przyczyna jest prosta – bożek BC. Dzięki niemu np MutationObserver nie działa na polach formularza, bo 20 lat temu W3C zrobiło błąd w trakcie definiowania standardu DOM. Zatem jeśli DOM się nie rusza, bo zepsuje się Sieć, to HTTP/1 tym bardziej nie zostanie wyrżnięte przez długie lata ;)

    No i co to za niepochlebna opinia o developerach webowych? Aż się poczułem nieco dotknięty!

    Odpowiedz
    • Odnośnie developerów – to jednak większość (nie wszyscy) – tak średnio w ogóle przejmują się security ;-)

      Odpowiedz
      • Elrood

        Pewnie że nie przejmują się security jak biznes / klient naciska na rzeczy które widzi a dev musiałby trochę więcej zrobic = opóźnić wprowadzenie feature’a xxx

        Odpowiedz
      • darek

        Potwierdzam. Niekończące się debaty na temat formatowania kodu i innych „istotnych” kwestii, a gdy przychodzi do kwestii bezpieczeństwa, np. PHP 5.6 zaczął domyślnie weryfikować certyfikaty SSL serwera, rozwiązanie sprowadza się do… wyłączenia weryfikacji.

        Odpowiedz
      • Ej, ja tu jestem i Was czytam! :P

        Odpowiedz
        • Koment do starego posta, to widzę że jeszcze zaległości w czytaniu :P

          Odpowiedz

Odpowiedz