Този месец се пуска за стандартизация HTTP 2.0, нова версия на HTTP протокола, който не е обновяван от 1999г.
Чета чертежите на спецификацията и съм дълбоко потресен. Новият протокол е базиран на SPDY проекта на Google, но по-страшното е, че най-вероятно няма да може да работи без наличието на SSL сертификат. Тоест, ако искаш да използваш HTTP 2.0 и благинките му, трябва да си закупиш и SSL сертификат и сайтът ти да е на https:// адрес.
В сигурността няма нищо лошо, но моите скромни познания показват, че сигурността на SSL сертификатите в текущата им форма е просто една голяма илюзия. Те са уязвими на атаки от вида "man in the middle", защото се разчита на трета страна, която удостоверява сертификата. А централизацията винаги води до подкупи и изтичане на информация, всяко нещо си има цена.
Идва и ерата на квантовите компютри, при които разбиването на един хеш, на който се базират тези сертификати е работа за под 1 наносекунда.
Не съм експерт в специалността, но нещо от вътре ми говори, че има огромна опасност Интернет да завие в грешната посока. Има толкова по-съвременни технологии за криптиране на връзки и размяна на ключове, че да базираме всичко на стара и сбъркана из основи технология за сигурност.
Ще перифразирам: "Имам чувството, че някой се опитва да ме убеди, че телефонът ми е криптиран и не се подслушва с цел да се отпусна и да говоря каквото си искам."
Като изключим сигурността, останалите неща в проекта за HTTP 2.0, като компресия, постоянни връзки... и изобщо всичко идващо от SPDY изглеждат обнадеждаващи. Но откъм сигурност нещата ще се издънят според мен. Дано в последния момент се реши да се премине на някоя по-надеждна технология за сигурност, при която няма да има трета страна и която няма да се разбива лесно от квантовите компютри.
Може да звуча странно, но говорим за протокол, който ще се използва в следващите 10+ години и през това време много неща ще се променят и квантовите модули ще са част от всяка една система.
Какво е вашето мнение? Има доста хора в Интернет, които критикуват протокола и мислят като мен. Има и такива, спрямо които няма съвършена сигурност и по-добре някаква сигурност, отколкото никаква. Аз лично предпочитам да внимавам какво правя в Интернет, отколкото да вярвам на технологии, които утре ще бъдат разбити.
Чета чертежите на спецификацията и съм дълбоко потресен. Новият протокол е базиран на SPDY проекта на Google, но по-страшното е, че най-вероятно няма да може да работи без наличието на SSL сертификат. Тоест, ако искаш да използваш HTTP 2.0 и благинките му, трябва да си закупиш и SSL сертификат и сайтът ти да е на https:// адрес.
В сигурността няма нищо лошо, но моите скромни познания показват, че сигурността на SSL сертификатите в текущата им форма е просто една голяма илюзия. Те са уязвими на атаки от вида "man in the middle", защото се разчита на трета страна, която удостоверява сертификата. А централизацията винаги води до подкупи и изтичане на информация, всяко нещо си има цена.
Идва и ерата на квантовите компютри, при които разбиването на един хеш, на който се базират тези сертификати е работа за под 1 наносекунда.
Не съм експерт в специалността, но нещо от вътре ми говори, че има огромна опасност Интернет да завие в грешната посока. Има толкова по-съвременни технологии за криптиране на връзки и размяна на ключове, че да базираме всичко на стара и сбъркана из основи технология за сигурност.
Ще перифразирам: "Имам чувството, че някой се опитва да ме убеди, че телефонът ми е криптиран и не се подслушва с цел да се отпусна и да говоря каквото си искам."
Като изключим сигурността, останалите неща в проекта за HTTP 2.0, като компресия, постоянни връзки... и изобщо всичко идващо от SPDY изглеждат обнадеждаващи. Но откъм сигурност нещата ще се издънят според мен. Дано в последния момент се реши да се премине на някоя по-надеждна технология за сигурност, при която няма да има трета страна и която няма да се разбива лесно от квантовите компютри.
Може да звуча странно, но говорим за протокол, който ще се използва в следващите 10+ години и през това време много неща ще се променят и квантовите модули ще са част от всяка една система.
Какво е вашето мнение? Има доста хора в Интернет, които критикуват протокола и мислят като мен. Има и такива, спрямо които няма съвършена сигурност и по-добре някаква сигурност, отколкото никаква. Аз лично предпочитам да внимавам какво правя в Интернет, отколкото да вярвам на технологии, които утре ще бъдат разбити.
Последно редактирано: