BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

增强HTTP

| 作者 Mark Little 关注 12 他的粉丝 ,译者 马连浩 关注 0 他的粉丝 发布于 2014年1月30日. 估计阅读时间: 5 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

之前,我们对HTTPbis工作组定义HTTP2.0的有关工作进行了报道。最近,工作组主席Mark Nottingham谈到了关于围绕协议中安全需求的正在进行的有关工作的影响,他发布了他的个人看法

最近,在互联网协议社区最热门的话题之一是:作为Edward Snowden向全世界揭露的无孔不入的隐私监视攻击的响应,HTTP/2 Web协议的最新版本是否要发布,充斥着请求,鼓励或肯定的争论。

目前Mark给出了工作简要回顾,特别是涉及到SPDY(译者: Google开发的基于传输控制协议(TCP)的应用层协议)和安全部分:

当Mike(Belshe)和Roberto(Peon)给我们带来了SPDY(“斯诺登”成为一个家喻户晓的名字之前),它的实现要求使用TLS进行加密。无论基于实用原因(若其中有什么未知的话,真的很难引入的HTTP新版本)还是更高级的理由,都是适用的。

由于当时不要求安全性的用例和强制它存在争议的事实……

[……]规范章节都没有关于这个问题的任何论述;默契是我们使加密或未加密连接的HTTP /2成为可能,具体实现将决定支持哪些。

伴随Snowden和XKeyscore泄露的发生,在IETF内部事情发生了重大转折,在柏林的工作组会议上,他们举行了一个额外会议,产生了强烈的共识,使用多种加密方式改善HTTP安全性。IETF内部将在接下来的几个月的会议中进一步讨论:

非常清楚的,我们有个共同目标在HTTP增加TLS使用,从而防止无孔不入的隐私监视和其他攻击,但这样做的不同的方式引起了很多争论和分歧,我们如何能够最好地实现这一目标,以及什么是适当的折衷。

Mark说,Chrome和Firefox开发者很多都支持,若是由TLS保护,他们只会支持HTTP/2。他还谈到其他浏览器开发者和安全专家制定他认为最佳方式的情况:

[……]对于普通网页浏览的情况,HTTP/2服务器将需要使用TLS,只要他们想与最广泛的浏览器选择进行交互,就如Mike和Roberto为SPDY所做的事情。重要的是,我们并不一定要求在协议规范本身使用TLS。

接着Mark继续他的建议后的更多细节,一些群体希望有更多的安全性,而另一些人认为IETF为所有HTTP/2使用强制加密是不恰当的。在这种情况下,IETF很难给出结论,尤其是在这样的“政治”情景下,Mark的说法:

它是一个政治决定,不是因为这样做是作为攻击者嫁祸政府,但由于HTTP是一个部署的协议,有很多既得利益者,如代理销售商,网络运营商,企业防火墙等。要求HTTP/2加密意味着这些利益相关者被剥夺利益。

不过,Mark认为, 通过保证HTTP/2协议的灵活和准确,IETF和工作组需要对各种选项的利弊进行必要讨论。

例如,在HTTP的当前设计中,是否使用加密的决定完全依赖于服务器,用户可以做的唯一事情是观察一个URL是为“HTTP”还是“HTTPS”(或者观看锁图标),并决定他们是否能继续冲浪。一个更具平衡的Web允许客户也能够决定,给予一些好处吸引服务器来支持加密,比如加密时只支持HTTP/2,正如Firefox和Chrome正在做的。

在这种情况下,由浏览器厂商决定而不是取决于标准。下一步是什么?那么有另一个HTTPbis工作组会议即将在苏黎世,Mark已经要求提出解决核心问题的建议:

一些浏览器实施者都表示,并准备为开放互联网的通讯只实现HTTP/2 over TLS。现在,他们可以只为https://开头URI实现HTTP/2,要求希望使用新的协议来重定向http:// URI的网站,可以使用“pin”的升级的HSTS。因此,我们并不一定指定要求(例如,用MUST或MUST NOT),这要在这些浏览器中使用新的协议的站点将实现上述模式。然而,为提升互操作性,我们可以指导书,甚至规范用于驾驭这个。这个议题专门用于为那种文案收集建议。

这将意味着在HTTP/ 2标准不要求TLS,但浏览器的实现可以这样做。然而,正如Mark指出,随后这些在HTTP/2中强制TLS的浏览器实现,它们可能在让企业代理探测通信时会再感到有压力。如果出现这种情况,重要的是反应以协调的方式处理,遵守了标准的互操作性。Mark带有提醒含义地总结,尚未作出决定,并且还有时间某些其他产出。此外,工作组始终关心别人听到他们结论的意见。毕竟,由IETF工作组做出的决定未来很可能会影响到我们许多人。

查看英文原文:Strengthening HTTP


感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT