根據(jù)W3Techs的調(diào)查數(shù)據(jù)顯示,目前大約有11%的網(wǎng)站使用了新型的互聯(lián)網(wǎng)通信協(xié)議–HTTP/2,而在一年之前,其占比只有2.3%。
沒錯,這個新的協(xié)議的確可以提供更好的性能,而且也可以與之前的HTTP/1.1兼容,但是我們真的有必要急于升級到HTTP/2嗎?雖然協(xié)議本身暫時還沒有漏洞,但是很多網(wǎng)站在使用這個協(xié)議時所采用的實現(xiàn)方法是存在安全漏洞的,這將導致網(wǎng)站的數(shù)據(jù)流量很可能會被攻擊者嗅探到。所以各位網(wǎng)站管理員們在沒有十足把我的情況下,建議以觀望為主。
安全公司Corvil產(chǎn)品管理部門的主管Graham Ahearne認為:
“很多網(wǎng)站之所以會升級協(xié)議,主要是企業(yè)業(yè)務規(guī)劃所決定的。他們希望自己的電子商務門戶網(wǎng)站能夠給客戶提供性能更好的服務和體驗。但是,由于現(xiàn)在網(wǎng)站所需處理的數(shù)據(jù)量非常的大,而且各種新型的安全漏洞也在不斷涌現(xiàn),企業(yè)必須時刻關注網(wǎng)站信息安全方面的問題。新的東西固然是好的,但是新的東西同樣也意味著它們還沒有經(jīng)歷過時間的考驗,而這就會導致很多意想不到的安全風險出現(xiàn)。”
作為請求網(wǎng)頁數(shù)據(jù)和網(wǎng)站資源時的底層信息傳輸標準,HTTP/1.1協(xié)議誕生至今已經(jīng)有16年多了。協(xié)議只允許一次發(fā)送一個請求,所以某些瀏覽器會使用多條鏈接來并行發(fā)送網(wǎng)站請求,而這樣就有可能導致服務器發(fā)生擁堵。與此同時,Web網(wǎng)站也會采用各種技術(shù)來提高數(shù)據(jù)內(nèi)容的傳輸速度。
HTTP/2旨在引入多路復用技術(shù)來解決請求數(shù)量受限的問題,而這對于那些頁面擁有大量小工具的網(wǎng)站來說絕對是一個福音。
Limelight Networks公司的高級產(chǎn)品經(jīng)理Brett Mertens認為:
“HTTP/1.1是一個非常棒的協(xié)議,但是它并不是為性能而生的。但是現(xiàn)在,人們更加關注的是網(wǎng)站的性能和用戶的體驗度。在HTTP/1.1時代,一個瀏覽器可能會打開四到六個鏈接來獲取Web服務器中的數(shù)據(jù)內(nèi)容。但是在HTTP/2時代,一條鏈接再加上多路復用技術(shù),我們就可以獲取到所需的全部數(shù)據(jù),所以效率得到了大幅提升。但是這對于用戶來說,其實并沒有多大的改變,只是網(wǎng)站的加載速度稍微快了一點而已。”
仍需進行加密,但并非強制要求
協(xié)議本身并不要求進行強制加密,但是目前所有的瀏覽器都需要TLS加密。Mertens表示:“很多網(wǎng)站在實現(xiàn)協(xié)議本身的基本要求之后,還會使用很多其他的安全技術(shù)。這對于整體安全性而言,這是一種非常好的現(xiàn)象。”
但是對于某些公司而言,加密很可能會成為一把雙刃劍,安全公司Fireglass的首席執(zhí)行官GuyGuzner認為:
“在客戶端和服務器之間,還有很多類似入侵防御系統(tǒng)和防火墻這樣的安全保護設備,它們可以分析網(wǎng)站的通信數(shù)據(jù),并檢測惡意流量。所以我擔心的是,這些設備是否能夠適應HTTP/2。某些廠商現(xiàn)在已經(jīng)在提供HTTPS和SSL加密解決方案了,但是如果要改為使用HTTP/2的話,那么目前的很多方案很可能都要從底層開始修改了。HTTP/2允許會話復用,以及將文件以內(nèi)容和資源的形式進行發(fā)送。這樣一來,現(xiàn)在很多的安全產(chǎn)品和反病毒引擎將更加難以進行安全檢測,它們將無法追蹤會話線程,而且也無法有效地檢測其中的惡意內(nèi)容。”
解決這個問題其實并不容易,廠商如果要使用HTTP/2,那么就必須要更新他們的產(chǎn)品,但是產(chǎn)品碎片化等問題使得整個升級過程會非常困難。而且有的用戶并不想升級,因此某些產(chǎn)品的升級周期很可能會持續(xù)數(shù)年之久。
因此,企業(yè)在決定采用HTTP/2之前,最好先檢測一下自家產(chǎn)品是否真的能夠有效地檢測HTTP/2流量,如果不行的話,我們建議這些企業(yè)先“按兵不動”。
新的漏洞也隨之出現(xiàn)
安全公司Imperva在今年夏天的BlackHat黑客大會上報告了多個與HTTP/2有關的安全漏洞,相應的廠商已經(jīng)收到了漏洞信息,并且也在已經(jīng)修復了這些漏洞。
該公司的首席安全研究專家ItsikMantin說到:
“HTTP/2協(xié)議本身并不存在安全問題,主要是協(xié)議的實現(xiàn)方式有問題。Imperva的安全專家對目前主流的Web服務器進行了分析,包括Apache、IIS、Jetty、Nghttpd和Nginx在內(nèi),并且發(fā)現(xiàn)每一款服務器都存在一定的問題。在某些情況下,攻擊者甚至只需要發(fā)送一個請求,就足以讓服務器崩潰。這也就意味著,攻擊者可能只需要一臺筆記本電腦就可以發(fā)動類似大規(guī)模DDoS這樣的攻擊了。
雖然漏洞都已經(jīng)被修復了,但是這也并不意味著所有的Web服務器都安裝了更新補丁。因為安裝補丁是需要一定成本的,管理員必須知道自己的設備中存在安全問題,他們必須要被通知到位。當他們拿到更新補丁之后,還要評估這些補丁會給自己的服務器帶來怎樣的影響,所以并非所有人都會急于安裝更新補丁。”
HTTP/2的現(xiàn)狀如何?
雖然11%的占比看起來是一個非常低的采用率,但考慮到HTTP/2是一個在2015年剛剛誕生的新協(xié)議,而且目前所有主流的PC端和移動端瀏覽器都支持HTTP/2,所以現(xiàn)在的情況也算不錯了。
Akamai技術(shù)公司的首席Web架構(gòu)師Stephen Ludin認為:“目前包括Google和Twitter在內(nèi)的很多大型網(wǎng)站都開始使用HTTP/2了,而升級協(xié)議的主要驅(qū)動力在于網(wǎng)站希望給用戶提供更好地性能體驗。使用HTTP/2之后,網(wǎng)站性能平均可以提升10%,而有的網(wǎng)站其效率甚至可以提升30-50個百分點。如果網(wǎng)站開發(fā)人員希望使用HTTP/2的話,他們應該從網(wǎng)站的底層架構(gòu)開始著手。”
* 參考來源:networkworld,F(xiàn)B小編Alpha_h4ck編譯,轉(zhuǎn)載請注明來自FreeBuf.COM