forum.opennet.ru

Составление сообщения

Исходное сообщение

"В протоколе HTTP/2.0 предложено перейти к обязательному испо..."
Отправлено opennews, 14-Ноя-13 11:12

Марк Ноттингем (Mark Nottingham (http://en.wikipedia.org/wiki/Mark_Nottingham)), руководитель рабочей группы по развитию новой версии протокола HTTP в организации IETF (Internet Engineering Task Force), выступил с предложением (http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/... перейти в стандарте HTTP/2.0 (https://www.opennet.ru/opennews/art.shtml?num=32909) к практике обязательного использования шифрования канала связи для всех соединений. Участники заседания комитета IETF, состоявшегося в Ванкувере, пришли к обоюдному согласию в вопросе необходимости усиления шифрования трафика в Web. Тем не менее, конкретный метод реализации пока окончательно не утверждён.
Наиболее перспективным считается вариант привязки HTTP/2.0 к URI HTTPS, при котором использование HTTP/2.0 станет возможным только при обращении к ресурсам по "https://", а при использовании URI "http://" будет допустим только протокол HTTP/1. В качестве альтернативных вариантов также рассматриваются два предложения по применению шифрования для "http://" при использовании протокола HTTP/2.0. Первый вариант данного предложения подразумевает использование упрощённой схемы "TLS Relaxed", с шифрованием потока данных, но без аутентификации сервера. Второй вариант отличается от первого выполнением аутентификации сервера, т.е. аналогичен применению методов HTTPS для "http://".

Обсуждение вопроса с представителями производителей web-браузеров выявило общее согласие с вариантом HTTPS для HTTP/2.0 и наличие возражений и опасений для варианта с шифрованием без аутентификации. Среди доводов в пользу использования только HTTPS для HTTP/2.0 называются простота реализации, не требующая определения новых механизмов и изменения текста текущего черновика спецификации. Применение шифрования для "http://" может ввести в заблуждение пользователей и нарушает привычный уклад. Для понижения защиты в HTTP/2.0 может применяться механизм HSTS (http://ru.wikipedia.org/wiki/HSTS) (HTTP Strict Transport Security). Кроме того, реализовав вариант с HTTPS ничто не мешает при необходимости в будущем обеспечить поддержку дополнительной схемы с шифрованием без аутентификации.
URL: http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=38424

Исходное сообщение
"В протоколе HTTP/2.0 предложено перейти к обязательному испо..." Отправлено opennews, 14-Ноя-13 11:12
Марк Ноттингем (Mark Nottingham (http://en.wikipedia.org/wiki/Mark_Nottingham)), руководитель рабочей группы по развитию новой версии протокола HTTP в организации IETF (Internet Engineering Task Force), выступил с предложением (http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/... перейти в стандарте HTTP/2.0 (https://www.opennet.ru/opennews/art.shtml?num=32909) к практике обязательного использования шифрования канала связи для всех соединений. Участники заседания комитета IETF, состоявшегося в Ванкувере, пришли к обоюдному согласию в вопросе необходимости усиления шифрования трафика в Web. Тем не менее, конкретный метод реализации пока окончательно не утверждён. Наиболее перспективным считается вариант привязки HTTP/2.0 к URI HTTPS, при котором использование HTTP/2.0 станет возможным только при обращении к ресурсам по "https://", а при использовании URI "http://" будет допустим только протокол HTTP/1. В качестве альтернативных вариантов также рассматриваются два предложения по применению шифрования для "http://" при использовании протокола HTTP/2.0. Первый вариант данного предложения подразумевает использование упрощённой схемы "TLS Relaxed", с шифрованием потока данных, но без аутентификации сервера. Второй вариант отличается от первого выполнением аутентификации сервера, т.е. аналогичен применению методов HTTPS для "http://". Обсуждение вопроса с представителями производителей web-браузеров выявило общее согласие с вариантом HTTPS для HTTP/2.0 и наличие возражений и опасений для варианта с шифрованием без аутентификации. Среди доводов в пользу использования только HTTPS для HTTP/2.0 называются простота реализации, не требующая определения новых механизмов и изменения текста текущего черновика спецификации. Применение шифрования для "http://" может ввести в заблуждение пользователей и нарушает привычный уклад. Для понижения защиты в HTTP/2.0 может применяться механизм HSTS (http://ru.wikipedia.org/wiki/HSTS) (HTTP Strict Transport Security). Кроме того, реализовав вариант с HTTPS ничто не мешает при необходимости в будущем обеспечить поддержку дополнительной схемы с шифрованием без аутентификации. URL: http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/... Новость: https://www.opennet.ru/opennews/art.shtml?num=38424

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Марк Ноттингем (Mark Nottingham (http://en.wikipedia.org/wiki/Mark_Nottingham)), 
> руководитель рабочей группы по развитию новой версии протокола HTTP в организации 
> IETF (Internet Engineering Task Force), выступил с предложением (http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/0625.html) 
> перейти в стандарте HTTP/2.0 (https://www.opennet.ru/opennews/art.shtml?num=32909) 
> к практике обязательного использования шифрования канала связи для всех соединений. Участники 
> заседания комитета IETF, состоявшегося в Ванкувере, пришли к обоюдному согласию в 
> вопросе необходимости усиления шифрования трафика в Web. Тем не менее, конкретный 
> метод реализации пока окончательно не утверждён.

> Наиболее перспективным считается вариант привязки HTTP/2.0 к URI HTTPS, при котором использование 
> HTTP/2.0 станет возможным только при обращении к ресурсам по "https://", а 
> при использовании URI "http://" будет допустим только протокол HTTP/1. В качестве 
> альтернативных вариантов также рассматриваются два предложения по применению шифрования 
> для "http://" при использовании протокола HTTP/2.0. Первый вариант данного предложения 
> подразумевает использование упрощённой схемы "TLS Relaxed", с шифрованием потока данных, 
> но без аутентификации сервера. Второй вариант отличается от первого выполнением аутентификации 
> сервера, т.е. аналогичен применению методов HTTPS для "http://".

> Обсуждение вопроса с представителями производителей web-браузеров выявило общее согласие 
> с вариантом HTTPS для HTTP/2.0 и наличие возражений и опасений для 
> варианта с шифрованием без аутентификации. Среди доводов в пользу использования только 
> HTTPS для HTTP/2.0 называются простота реализации, не требующая определения новых механизмов 
> и изменения текста текущего черновика спецификации. Применение шифрования для "http://" 
> может ввести в заблуждение пользователей и нарушает привычный уклад. Для понижения 
> защиты в HTTP/2.0 может применяться механизм HSTS (http://ru.wikipedia.org/wiki/HSTS) 
> (HTTP Strict Transport Security). Кроме того, реализовав вариант с HTTPS ничто 
> не мешает при необходимости в будущем обеспечить поддержку дополнительной схемы с 
> шифрованием без аутентификации.

> URL: http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/0625.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=38424

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру