安全和便捷性是不可兼得的。但随着技术的发展,开发人员慢慢做到安全性和便捷性的兼得,让用户在运用产品的时候,更加便捷。但是对于HTTP/2也同样如此吗?我们一起来看看。
根据W3Techs的调查数据显示,现在大约有11%的网站运用了新型的互联网通信协议–HTTP/2,而在一年之前,其占比只有2.3%。
HTTP/2旨在引入多路复用技术来搞定请求数量受限的问题,而这对于那些页面拥有大量小工具的网站来说绝对是一个福音。
Limelight Networks公司的高级产品经理Brett Mertens认为:
“HTTP/1.1是一个非常棒的协议,但是它并不是为性能而生的。但是现在,人们更加关心的是网站的性能和用户的体验度。
在HTTP/1.1时代,一个浏览器可能会打开四到六个链接来获得Web服务器中的数据内容。
但是在HTTP/2时代,一条链接再加上多路复用技术,我们就可以获得到所需的所有数据,所以效率得到了大幅提升。
但是这对于用户来说,其实并没有多大的改变,只是网站的加载速度稍微快了一点而已。”
仍需进行加密,但并非强制要求
协议本身并不要求进行强制加密,但是现在所有的浏览器都需要TLS加密。
Mertens表示:“很多网站在实现协议本身的基本要求之后,还会运用很多其他的安全技术。
这对于整体安全性而言,这是一种非常好的现象。”
但是对于某些公司而言,加密很可能会成为一把双刃剑,安全公司Fireglass的首席执行官GuyGuzner认为:
“在客户端和服务器之间,还有很多相似入侵防御系统和防火墙这样的安全保护设备,它们可以分析网站的通信数据,并检测恶意流量。
所以我担心的是,这些设备是否能够适应HTTP/2。
某些厂商现在已经在提供HTTPS和SSL加密搞定方案了,但是如果要改为运用HTTP/2的话,那么现在的很多方案很可能都要从底层开始修改了。
HTTP/2允许会话复用,以及将文件以内容和资源的形式进行发送。
这样一来,现在很多的安全产品和反病毒引擎将更加难以进行安全检测,它们将无法追踪会话线程,而且也无法有效地检测其中的恶意内容。”
搞定这个问题其实并不容易,厂商如果要运用HTTP/2,那么就必须要更新他们的产品,但是产品碎片化等问题使得整个升级过程会非常困难。而且有的用户并不想升级,因此某些产品的升级周期很可能会连续数年之久。
因此,企业在决定采用HTTP/2之前,最好先检测一下自家产品是否真的能够有效地检测HTTP/2流量,如果不行的话,我们建议这些企业先“按兵不动”。
新的漏洞也随之出现
安全公司Imperva在今年夏天的BlackHat黑客大会上报告了多个与HTTP/2有关的安全漏洞,相应的厂商已经收到了漏洞信息,并且也在已经修复了这些漏洞。
该公司的首席安全研究专家ItsikMantin说到:“HTTP/2协议本身并不存在安全问题,主要是协议的实现方式有问题。
Imperva的安全专家对现在主流的Web服务器进行了分析,包括Apache、IIS、Jetty、Nghttpd和Nginx在内,并且发现每一款服务器都存在一定的问题。
在某些情况下,攻击者甚至只需要发送一个请求,就足以让服务器崩溃。这也就意味着,攻击者可能只需要一台笔记本电脑就可以发动相似大规模DDoS这样的攻击了。
虽然漏洞都已经被修复了,但是这也并不意味着所有的Web服务器都安装了更新补丁。
因为安装补丁是需要一定成本的,管理员必须知道自己的设备中存在安全问题,他们必须要被通知到位。
当他们拿到更新补丁之后,还要评估这些补丁会给自己的服务器带来怎样的影响,所以并非所有人都会急于安装更新补丁。”
HTTP/2的现状如何?
虽然11%的占比看起来是一个非常低的采用率,但考虑到HTTP/2是一个在2015年刚刚诞生的新协议,而且现在所有主流的PC端和移动端浏览器都支持HTTP/2,所以现在的情况也算不错了。
Akamai技术公司的首席Web架构师Stephen Ludin认为:“现在包括Google和Twitter在内的很多大型网站都开始运用HTTP/2了,而升级协议的主要驱动力在于网站希望给用户提供更好地性能体验。
运用HTTP/2之后,网站性能平均可以提升10%,而有的网站其效率甚至可以提升30-50个百分点。
如果网站开发人员希望运用HTTP/2的话,他们应该从网站的底层架构开始着手。”
