安全性和便利性不能兼顾的问题。但是随着技术的发展,开发者慢慢做到安全性和便捷性兼顾,让用户使用产品更加方便。但是对于HTTP/2也是这样吗?我们一起来看看吧。
根据W3Techs的调查数据,现在约有11%的网站使用新的互联网通信协议——HTTP/2,而一年前只有2.3%。
是的,这个新协议可以提供更好的性能,也兼容之前的HTTP/1.1,但是我们真的需要急着升级到HTTP/2吗?
虽然协议本身暂时没有漏洞,但是很多网站在使用该协议时采用的实现方式存在安全漏洞,很可能会导致网站的数据流量被攻击者嗅到。
所以站长们建议先等等看,不要完全把我当回事。
安保公司Corvil的产品管理部门负责人Graham Ahearne认为:
“很多网站之所以升级协议,主要是由企业的商业规划决定的。他们希望他们的电子商务门户能够为客户提供更好的服务和体验。
但是,由于现在网站需要处理的数据量巨大,各种新的安全漏洞也在不断涌现,企业必须时刻关注网站的信息安全。
新事物是好的,但新事物也意味着没有经历过时间的考验,会导致很多意想不到的安全隐患。"
HTTP/1.1协议作为请求网页数据和网站资源时的基本信息传输标准,已经诞生超过16年。
协议一次只允许发送一个请求,所以有些榴莲使用多个链接并行发送网站请求,可能会导致服务器拥塞。
同时,网站将采用各种技术来提高数据内容的传输速度。
HTTP/2旨在引入复用技术解决请求数量有限的问题,这对于那些页面有很多小工具的网站来说绝对是福音。
光线网络高级产品经理布雷特默滕斯认为:
“HTTP/1.1是一个很好的协议,但它不是为性能而构建的。然而现在,人们更关心网站的性能和用户体验。
在HTTP/1.1时代,一个浏览器可能会打开四到六个链接来获取Web服务器中的数据内容。
但是在HTTP/2时代,有了单链路和复用技术,我们就可以得到所有需要的数据,所以效率大大提高了。
但是对于用户来说,其实变化不大,只是网站的加载速度快了一点。"
加密仍然是必需的,但不是强制性的。
协议本身不需要强制加密,但是现在所有的浏览器都需要TLS加密。
Mertens说:“很多网站在实现了协议本身的基本要求后,会使用很多其他的安全技术。
对于整体安全来说,这是一个非常好的现象。"
但对于一些公司来说,加密很可能成为一把双刃剑。安全公司Fireglass的首席执行官GuyGuzner认为:
“在客户端和服务器之间,有很多像入侵防御系统、防火墙这样的安全防护设备,可以分析网站的通信数据,检测恶意流量。
所以我很担心这些设备能否适应HTTP/2。
一些供应商已经在提供HTTPS和SSL加密解决方案,但是如果他们想使用HTTP/2来代替,许多当前的解决方案可能必须从底层进行修改。
HTTP/2允许会话重用和以内容和资源的形式发送文件。
这样一来,很多安全产品和反病毒引擎进行安全检测的难度会更大,无法跟踪会话线程,无法有效检测其中的恶意内容。"
其实解决这个问题并不容易。如果厂商想要使用HTTP/2,就必须更新产品,但是产品碎片化等问题使得整个升级过程非常困难。而且有些用户不想升级,所以有些产品的升级周期很可能长达数年。
所以企业在决定采用HTTP/2之前,最好先检查一下自己的产品是否真的能有效检测HTTP/2流量。如果没有,我们建议这些企业先“静观其变”。
新的漏洞也出现了。
安全公司Imperva在今年夏天的BlackHat黑客大会上报告了大量与HTTP/2相关的安全漏洞。相应的厂商已经收到了漏洞信息,并且已经修复了这些漏洞。
该公司首席安全研究专家ItsikMantin表示:“HTTP/2协议本身不存在安全问题,主要是因为协议的实现。
Imperva的安全专家对目前主流的Web服务器进行了分析,包括Apache、IIS、Jetty、Nghttpd和Nginx,发现每个服务器都存在一定的问题。
在某些情况下,攻击者只需要发送一个请求,就足以使服务器崩溃。这意味着攻击者可能只需要一台笔记本电脑就能发动类似大规模DDoS的攻击。
虽然所有的漏洞都被修复了,但并不意味着所有的Web服务器都更新了补丁。
因为安装补丁需要一定的费用,所以管理员必须知道自己的设备存在安全问题,而且必须通知他们。
当他们获得更新的补丁时,他们必须评估这些补丁将如何影响他们的服务器,所以不是每个人都会急于安装更新的补丁。"
HTTP/2的现状如何?
虽然11%的比例看起来是一个很低的采用率,但考虑到HTTP/2是2015年刚刚诞生的新协议,现在主流的PC端和移动端浏览器都支持HTTP/2,目前的情况还算不错。
Akamai Technologies首席Web架构师斯蒂芬卢丁(Stephen Ludin)表示:“现在包括谷歌和Twitter在内的许多大型网站都开始使用HTTP/2,升级协议的主要驱动力是网站希望为用户提供更好的性能体验。
使用HTTP/2后,网站性能平均可以提高10%,有些网站的效率甚至可以提高30-50%。
网站开发者如果想用HTTP/2,就要从网站底层架构入手。"
