HTTP/2性能更好,但是安全性又如何呢?
根據W3Techs的調查數據顯示,目前大約有11%的網站使用了新型的互聯網通信協議–HTTP/2,而在一年之前,其佔比只有2.3%。
沒錯,這個新的協議的確可以提供更好的性能,而且也可以與之前的HTTP/1.1兼容,但是我們真的有必要急於升級到HTTP/2嗎?
雖然協議本身暫時還沒有漏洞,但是很多網站在使用這個協議時所採用的實現方法是存在安全漏洞的,這將導致網站的數據流量很可能會被攻擊者嗅探到。所以各位網站管理員們在沒有十足把我的情況下,建議以觀望為主。
安全公司Corvil產品管理部門的主管Graham Ahearne認為:
「很多網站之所以會升級協議,主要是企業業務規劃所決定的。他們希望自己的電子商務門戶網站能夠給客戶提供性能更好的服務和體驗。
但是,由於現在網站所需處理的數據量非常的大,而且各種新型的安全漏洞也在不斷湧現,企業必須時刻關注網站信息安全方面的問題。
新的東西固然是好的,但是新的東西同樣也意味著它們還沒有經歷過時間的考驗,而這就會導致很多意想不到的安全風險出現。」
作為請求網頁數據和網站資源時的底層信息傳輸標準,HTTP/1.1協議誕生至今已經有16年多了。
協議只允許一次發送一個請求,所以某些瀏覽器會使用多條鏈接來並行發送網站請求,而這樣就有可能導致伺服器發生擁堵。與此同時,Web網站也會採用各種技術來提高數據內容的傳輸速度。
HTTP/2旨在引入多路復用技術來解決請求數量受限的問題,而這對於那些頁面擁有大量小工具的網站來說絕對是一個福音。
Limelight Networks公司的高級產品經理Brett Mertens認為:
「HTTP/1.1是一個非常棒的協議,但是它並不是為性能而生的。但是現在,人們更加關注的是網站的性能和用戶的體驗度。
在HTTP/1.1時代,一個瀏覽器可能會打開四到六個鏈接來獲取Web伺服器中的數據內容。
但是在HTTP/2時代,一條鏈接再加上多路復用技術,我們就可以獲取到所需的全部數據,所以效率得到了大幅提升。但是這對於用戶來說,其實並沒有多大的改變,只是網站的載入速度稍微快了一點而已。」
仍需進行加密,但並非強制要求
協議本身並不要求進行強制加密,但是目前所有的瀏覽器都需要TLS加密。Mertens表示:「很多網站在實現協議本身的基本要求之後,還會使用很多其他的安全技術。這對於整體安全性而言,這是一種非常好的現象。」
但是對於某些公司而言,加密很可能會成為一把雙刃劍,安全公司Fireglass的首席執行官GuyGuzner認為:
「在客戶端和伺服器之間,還有很多類似入侵防禦系統和防火牆這樣的安全保護設備,它們可以分析網站的通信數據,並檢測惡意流量。所以我擔心的是,這些設備是否能夠適應HTTP/2。
某些廠商現在已經在提供HTTPS和SSL加密解決方案了,但是如果要改為使用HTTP/2的話,那麼目前的很多方案很可能都要從底層開始修改了。HTTP/2允許會話復用,以及將文件以內容和資源的形式進行發送。
這樣一來,現在很多的安全產品和反病毒引擎將更加難以進行安全檢測,它們將無法追蹤會話線程,而且也無法有效地檢測其中的惡意內容。」
解決這個問題其實並不容易,廠商如果要使用HTTP/2,那麼就必須要更新他們的產品,但是產品碎片化等問題使得整個升級過程會非常困難。而且有的用戶並不想升級,因此某些產品的升級周期很可能會持續數年之久。
因此,企業在決定採用HTTP/2之前,最好先檢測一下自家產品是否真的能夠有效地檢測HTTP/2流量,如果不行的話,我們建議這些企業先「按兵不動」。
新的漏洞也隨之出現
安全公司Imperva在今年夏天的BlackHat黑客大會上報告了多個與HTTP/2有關的安全漏洞,相應的廠商已經收到了漏洞信息,並且也在已經修復了這些漏洞。
該公司的首席安全研究專家ItsikMantin說到:
「HTTP/2協議本身並不存在安全問題,主要是協議的實現方式有問題。Imperva的安全專家對目前主流的Web伺服器進行了分析,包括Apache、IIS、Jetty、Nghttpd和Nginx在內,並且發現每一款伺服器都存在一定的問題。
在某些情況下,攻擊者甚至只需要發送一個請求,就足以讓伺服器崩潰。這也就意味著,攻擊者可能只需要一台筆記本電腦就可以發動類似大規模DDoS這樣的攻擊了。
雖然漏洞都已經被修復了,但是這也並不意味著所有的Web伺服器都安裝了更新補丁。因為安裝補丁是需要一定成本的,管理員必須知道自己的設備中存在安全問題,他們必須要被通知到位。
當他們拿到更新補丁之後,還要評估這些補丁會給自己的伺服器帶來怎樣的影響,所以並非所有人都會急於安裝更新補丁。」
HTTP/2的現狀如何?
雖然11%的佔比看起來是一個非常低的採用率,但考慮到HTTP/2是一個在2015年剛剛誕生的新協議,而且目前所有主流的PC端和移動端瀏覽器都支持HTTP/2,所以現在的情況也算不錯了。
Akamai技術公司的首席Web架構師Stephen Ludin認為:「目前包括Google和Twitter在內的很多大型網站都開始使用HTTP/2了,而升級協議的主要驅動力在於網站希望給用戶提供更好地性能體驗。
使用HTTP/2之後,網站性能平均可以提升10%,而有的網站其效率甚至可以提升30-50個百分點。如果網站開發人員希望使用HTTP/2的話,他們應該從網站的底層架構開始著手。」
* 參考來源:
networkworld
,FB小編Alpha_h4ck編譯,轉載請註明來自
FreeBuf.COM
※自動化、安全分析和人工智慧,從Gartner預測看網路安全新規則
※一種被動的Tor網路去匿名化方法
※五大安全研究者必用的搜索引擎
※一個和任天堂遊戲機有關的0-day漏洞,可能對大多Linux系統造成影響
TAG:FreeBuf |
※全站 HTTPS 沒你想像的那麼簡單
※TLS 1.3如何用性能為HTTPS正名
※HTTP/2推送技術之難,真的遠超我們想像
※從HTTP轉向HTTPS,谷歌這個新變化在安全領域意義非凡!
※如何在macOS上監聽單個應用HTTPS流量
※解惑:哪些錯誤是用HTTP狀態碼錶示的
※Flask 進階:如何實現 HTTPS?
※神奇的HTTP消息頭Cache-control是如何控制頁面緩存的?
※價格親民又好看,結實耐操又能裝 http://t.cn/RXSHv0R
※鑲嵌設計的蜜蠟吊墜我覺著還不錯,可以搭配皮繩或金屬鏈,下單我再送您小禮物一份作揖http://t.cn/RXgTejv
※HTTPS證書吊銷機制已壞,是時候需要一些新工具了!
※《生化危機6:終章》就要上映了,分享一個前五部在線高清合集,沒看過或者想重溫的不要錯過惹二哈,生化危機http://t.cn/RAIZJJb
※第一大瀏覽器Chrome強殺HTTP網站:不安全!
※利用Hook技術實現瀏覽器HTTPS劫持
※MultiHttp:高性能的 PHP 封裝的 HTTP Restful 多線程並發請求庫
※新技能Get:如何利用HTTP技術提升網頁的載入速度
※為何你會被強插廣告/盜號?談HTTPS連接的那些事
※Android使用OKHTTP解析JSON數據
※深入剖解HSTS,啟動HTTPS的強制機制