找回密码
 骑士注册

QQ登录

微博登录


增强HTTP

2014-01-30 08:31       

之前,我们对HTTPbis工作组定义HTTP2.0的有关工作进行了报道。最近,工作组主席Mark Nottingham谈到了关于围绕协议中安全需求的正在进行的有关工作的影响,他发布了他的个人看法

最近,在互联网协议社区最热门的话题之一是:作为Edward Snowden向全世界揭露的无孔不入的隐私监视攻击的响应,HTTP/2 Web协议的最新版本是否要发布,充斥着请求,鼓励或肯定的争论。

目前Mark给出了工作简要回顾,特别是涉及到SPDY(译者: Google开发的基于传输控制协议(TCP)的应用层协议)和安全部分:

当Mike(Belshe)和Roberto(Peon)给我们带来了SPDY(“斯诺登”成为一个家喻户晓的名字之前),它的实现要求使用TLS进行加密。无论基于实用原因(若其中有什么未知的话,真的很难引入的HTTP新版本)还是更高级的理由,都是适用的。

由于当时不要求安全性的用例和强制它存在争议的事实……

[……]规范章节都没有关于这个问题的任何论述;默契是我们使加密或未加密连接的HTTP /2成为可能,具体实现将决定支持哪些。

伴随Snowden和XKeyscore泄露的发生,在IETF内部事情发生了重大转折,在柏林的工作组会议上,他们举行了一个额外会议,产生了强烈的共识,使用多种加密方式改善HTTP安全性。IETF内部将在接下来的几个月的会议中进一步讨论:

非常清楚的,我们有个共同目标在HTTP增加TLS使用,从而防止无孔不入的隐私监视和其他攻击,但这样做的不同的方式引起了很多争论和分歧,我们如何能够最好地实现这一目标,以及什么是适当的折衷。

Mark说,Chrome和Firefox开发者很多都支持,若是由TLS保护,他们只会支持HTTP/2。他还谈到其他浏览器开发者和安全专家制定他认为最佳方式的情况:

[……]对于普通网页浏览的情况,HTTP/2服务器将需要使用TLS,只要他们想与最广泛的浏览器选择进行交互,就如Mike和Roberto为SPDY所做的事情。重要的是,我们并不一定要求在协议规范本身使用TLS。

接着Mark继续他的建议后的更多细节,一些群体希望有更多的安全性,而另一些人认为IETF为所有HTTP/2使用强制加密是不恰当的。在这种情况下,IETF很难给出结论,尤其是在这样的“政治”情景下,Mark的说法:

它是一个政治决定,不是因为这样做是作为攻击者嫁祸政府,但由于HTTP是一个部署的协议,有很多既得利益者,如代理销售商,网络运营商,企业防火墙等。要求HTTP/2加密意味着这些利益相关者被剥夺利益。

不过,Mark认为, 通过保证HTTP/2协议的灵活和准确,IETF和工作组需要对各种选项的利弊进行必要讨论。

例如,在HTTP的当前设计中,是否使用加密的决定完全依赖于服务器,用户可以做的唯一事情是观察一个URL是为“HTTP”还是“HTTPS”(或者观看锁图标),并决定他们是否能继续冲浪。一个更具平衡的Web允许客户也能够决定,给予一些好处吸引服务器来支持加密,比如加密时只支持HTTP/2,正如Firefox和Chrome正在做的。

在这种情况下,由浏览器厂商决定而不是取决于标准。下一步是什么?那么有另一个HTTPbis工作组会议即将在苏黎世,Mark已经要求提出解决核心问题的建议:

一些浏览器实施者都表示,并准备为开放互联网的通讯只实现HTTP/2 over TLS。现在,他们可以只为https://开头URI实现HTTP/2,要求希望使用新的协议来重定向http:// URI的网站,可以使用“pin”的升级的HSTS。因此,我们并不一定指定要求(例如,用MUST或MUST NOT),这要在这些浏览器中使用新的协议的站点将实现上述模式。然而,为提升互操作性,我们可以指导书,甚至规范用于驾驭这个。这个议题专门用于为那种文案收集建议。

这将意味着在HTTP/ 2标准不要求TLS,但浏览器的实现可以这样做。然而,正如Mark指出,随后这些在HTTP/2中强制TLS的浏览器实现,它们可能在让企业代理探测通信时会再感到有压力。如果出现这种情况,重要的是反应以协调的方式处理,遵守了标准的互操作性。Mark带有提醒含义地总结,尚未作出决定,并且还有时间某些其他产出。此外,工作组始终关心别人听到他们结论的意见。毕竟,由IETF工作组做出的决定未来很可能会影响到我们许多人。

查看英文原文:Strengthening HTTP 

via : http://www.infoq.com/cn/news/2014/01/strengthen-http?utm_campaign=infoq_content&utm_source=infoq&utm_medium=feed&utm_term=global 

最新评论

我也要发表评论

收藏

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。