В качестве меры для ускорения загрузки веб-страниц я рекомендовал перейти с HTTP1.1 на протокол HTTP / 2. И только сегодня, во-первых, по моему опыту с момента появления HTTP / 2, я слышал в качестве аргумента в пользу отказа от перехода на HTTP / 2, что
HTTP / 2 не был бы достаточно безопасным и имел бы такие серьезные проблемы с безопасностью, что никакого повышения скорости они не заслуживают.
Как источник тех мыслей, которые у меня есть Эта статья.
Моя осведомленность не позволяет мне судить о том, насколько серьезны риски, упомянутые в этой статье. Могу предположить, что они довольно редкого происхождения - это всего лишь предположение, основанное на моем собственном мониторинге специальных СМИ о производительности веб-сайтов, которая может быть (очень) дырявой.
Может кто-нибудь объяснить мне:
HTTP2 является новым, поэтому вполне могут быть проблемы с безопасностью. Скорее всего, дело в плохой реализации, чем в самом протоколе.
HTTP / 1.1 устарел и испытан в боевых условиях. И, несмотря на это, определенно имеет проблемы. Некоторые из них являются уязвимостями в протоколе (например, основанный на тексте, а не на двоичном коде, можно использовать Разделение HTTP-заголовков / контрабанда заголовков обмануть веб-серверы) и многое другое связано с реализациями.
Так что я бы сказал, что ни то, ни другое не безопасно. В сети тоже ничего нет. Ни выходить из дома :-)
Я не думаю, что проблемы с безопасностью - причина отложить переход на HTTP / 2, и во многих отношениях (см. Пример выше) он более безопасен, чем HTTP / 1.1. Сказать, что главной целью HTTP / 2 было повышение производительности, а не безопасности.