Sécurité

Un développeur éminent critique le protocole HTTP/2 et affirme que la politique a conduit le processus d’adoption – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

L’Internet Engineering Task Force (IETF) a terminé ses travaux sur la norme HTTP/2 (Hypertext Transfer Protocol 2) plus tôt cette semaine. Ce nouveau protocole remplacera les versions actuelles de HTTP (1.0 et 1.1) et constitue la plus grande mise à jour unique de la norme depuis son lancement il y a plus de 25 ans. La plupart des analystes et des sites Web qui ont couvert l’annonce de manière positive, mais au moins un développeur majeur, Poul-Henning Kamp, s’est publiquement prononcé contre le projet.

D’abord, certains fond incontesté. La poussée pour mettre à jour HTTP/2 a vraiment commencé après que Google a publié son propre protocole SPDY. SPDY a été conçu pour accélérer le trafic HTTP (le terme n’est pas un acronyme) et Google a déclaré publiquement qu’il travaillait pour que son protocole personnalisé devienne une norme en 2012. L’IETF a accepté SPDY comme base pour HTTP/2, et alors que le deux normes ne sont pas identiques (HTTP/2 permet le multiplexage simultané sur différents hôtes, contrairement à SPDY), une grande partie de la conception de SPDY a été copiée-collée dans la norme HTTP/2.

D’après Camp, c’était une grave erreur. Il soulève plusieurs problèmes avec la conception de HTTP / 2, affirmant qu’il ne protège pas la confidentialité des utilisateurs, ne fait rien pour résoudre les nombreux problèmes de sécurité et de confidentialité liés aux cookies, améliore progressivement les performances (au mieux) et est motivé par la politique et non par le meilleur technique. les pratiques. Kamp n’est pas le seul développeur mécontent — Constantine Murenin pesé sur la liste de diffusion de l’IETF, notant que la norme ne parvient pas à traiter le chiffrement opportuniste, s’appuyant à la place sur le chiffrement obligatoire via HTTPS. Il existe un certain nombre de raisons pour lesquelles les sites Web et le matériel pourraient ne pas déployer HTTPS qui n’ont rien à voir avec une intention malveillante et tout à voir avec les difficultés de coût, de mise en œuvre et de certification.

Psssssst :  La NSA et le GCHQ ont cassé le cryptage Internet et créé des portes dérobées que n'importe qui pourrait utiliser

La norme HTTP/2 n’exige pas de cryptage obligatoire, mais plusieurs fournisseurs de navigateurs ont déclaré qu’ils n’implémenteront pas HTTP/2 sans lui, ce qui en fait un de facto exigence.

HTTP/2 améliorera-t-il les performances Web ?

Les preuves indiquant si le nouveau protocole améliorera les performances Web sont au mieux mitigées. Une étude comparant SPDY de Google à HTTP ont constaté que le degré d’amélioration dépendait des conditions précises testées. Les graphiques ci-dessous montrent le temps passé à effectuer des interactions réseau, appelé Time on Wire (ToW). Des valeurs inférieures signifient des performances plus rapides.

SPDY-Perf

La performance, dans ce cas, était partout sur la carte. Des tests supplémentaires ont révélé que la capacité de SPDY à améliorer les performances dépendait du temps d’aller-retour (RTT). À de faibles latences, l’amélioration du protocole était beaucoup plus faible que lorsque les RTT ont augmenté.

Comparaison SDPY

L’équipe a également noté que SPDY subissait une baisse de performances plus importante que HTTPS lorsque la perte de paquets était plus élevée et que le protocole était intrinsèquement plus susceptible de subir une perte de paquets que le protocole qu’il remplace ostensiblement. On ne sait pas si ces problèmes ont été fondamentalement corrigés dans HTTP / 2 – personne ne semble avoir résolu le problème d’une manière ou d’une autre.

Dans l’ensemble, HTTP/2 semble offrir une certaine amélioration des performances, mais la taille et la portée de cette amélioration dépendront du contexte. Kamp fait valoir un excellent point : une bonne mise à jour standard significative a tendance à se propager extrêmement rapidement dans l’écosystème, tandis que des changements supposés nécessaires, comme le passage d’IPv4 à IPv6, voient une adoption positivement misérable. Le modèle suivi par HTTP/2 est encore incertain.

Psssssst :  Cet outil peut pirater vos comptes même avec une authentification à deux facteurs - High-teK.ca

Bouton retour en haut de la page