Auteur Sujet: http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https  (Lu 50450 fois)

0 Membres et 1 Invité sur ce sujet

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #24 le: 11 février 2016 à 20:57:20 »
Vivien: pour moi, il n'y a pas de problème de sécurité
Il s'agit juste d'un truc nouveau, et les concernés ne se sentent pas capable d'assurer la sécurité dudit module (ce qui est concevable, vis-à-vis de tout logiciel récent / en cours de dev), d'autant plus pour une version LTS (qui va donc durer et se doit d'être plus stable que les autres versions)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #25 le: 11 février 2016 à 20:57:31 »
Et sinon, vous avez compris le pb de sécurité soulevé par http/2 ? (visiblement ce n'est pas l'implèmentation dans un navigateur qui pose pb mais http/2 de manière globale)

a l'origine:
Please disable HTTP/2 / SPDY for initial inclusion into Xenial; the security team would really prefer this code have some more real-world exposure and fuzzing before we turn it on. We can always turn it on after release via an SRU later.

suivi d'un long dialogue entre  les 2 de la sécu chez Ubuntu: https://lists.ubuntu.com/archives/ubuntu-release/2016-January/003499.html
qui se conclut par:
21:12 <rbasak> 1. No HTTP2 support in nginx nor apache2 because both upstreams still consider it experimental.
21:12 <sarnold> mdeslaur: I think they're well aware of our concerns at this point and I think they'd take them into proper consideration when makin a decision.
21:12 <rbasak> 2. We expect to add HTTP2 support when they're ready upstreams through SRU, including a future MIR of nghttp2.
21:12 <rbasak> 3. Once added we expect support in main.
21:13 <mdeslaur> rbasak: that sounds accurate to me
21:13 <rbasak> Additionally we're not even building HTTP2 support right now, not even in universe.


tl;dr: principe de précaution, y'a pas de souci de sécurité en soi et ceux qui gèrent apache et nginx considèrent encore HTTP/2 comme experimental.
ils l'ajouterons plus tard quand apache et nginx seront prets.

vivien

  • Administrateur
  • *
  • Messages: 47 084
    • Twitter LaFibre.info
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #26 le: 12 février 2016 à 08:56:53 »
Merci,

Je comprends mieux, la désactivation est lié au fait que la version est LTS (Long Term Support = support de 5 ans sur la même version d'Apache avec mise en place des correctif de sécurité des versions suivantes sur la version supportée 5 ans, par les équipes Ubuntu) et qu'ils souhaitent du code stable. Le code de http/2 risque de beaucoup évoluer ce qui rendra difficile le retro-portage des failles de sécurité qui seront découvertes. Il y a en plus le pb pour Apache avec une bibliothèque http/2 qui est dans le dépôt "universe", et donc pas soumis a des mises à jour de sécurité et un audit contre les failles comme l'est le code du "main".

Si vous vous demandez ce qu'est SRU dont parles les personnes d'Ubuntu : StableReleaseUpdates

Je vais mettre en place une VM Debian pour tester http/2. (Je ne suis pas a l'aise avec Docker)

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #27 le: 12 février 2016 à 14:47:00 »
ps: t'as pas besoin de Debian Stretch pour avoir http/2. mon site est en http/2 juste avec l'image nginx:latest
L'avantage de stretch est le support ALPN out-of-the-box par openssl et il faut espérer que les devs de chromium ne recommencent pas à dégager NPN.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 096
  • Alpes Maritimes (06)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #28 le: 12 février 2016 à 14:53:41 »
Je ne sais pas si Chrome et Chromium sont 100 % identiques sur ce sujet là, mais NPN dégage de chrome ..
https://www.nextinpact.com/news/98524-chrome-abandonnera-protocole-spdy-15-mai.htm

Citer
Google se réjouit évidemment de voir HTTP/2 aussi rapidement adopté, indiquant d’ailleurs que tous les principaux navigateurs sont désormais compatibles. Le retrait de SPDY ne fera pas une grande différence en pratique, les sites l’utilisant par le passé ayant pour la plupart transité vers HTTP/2.

L’éditeur profite de cette annonce pour en faire une autre : l’abandon à la même date de l’extension NPN du protocole TLS. Initialement, elle avait été créée pour négocier les connexions avec SPDY et HTTP/2. Cependant, elle a été supplantée par une nouvelle extension, ALPN, devenue un standard à l’IETF en 2014. Google indique qu’ALPN est actuellement utilisée dans 99 % des cas quand les sites utilisent SPDY ou HTTP/2. Les serveurs ne s’en servant pas peuvent la mettre en place en mettant à jour leur bibliothèque SSL.

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #29 le: 12 février 2016 à 15:12:08 »
ça va encore gueuler étant donné que pas mal de distros fournissent encore openssl en version 1.0.1 et donc sans ALPN.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #30 le: 13 février 2016 à 12:15:29 »
y'a un site pour tester si un serveur web http2 fait de l'APLN ou du NPN: https://tools.keycdn.com/http2-test

J'ai mis a jour mon image avec nginx 1.9.9 et openssl 1.0.2.f , ca passe le test APLN.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #31 le: 20 février 2016 à 18:33:58 »
Je ne sais pas si Chrome et Chromium sont 100 % identiques sur ce sujet là, mais NPN dégage de chrome ..
https://www.nextinpact.com/news/98524-chrome-abandonnera-protocole-spdy-15-mai.htm

Chromium c'est Chrome, moins:
- le Flash intégré (mais en contre-partie, Chromium a un mécanisme d’auto-détection du Flash PPAPI d'Adobe, hors bac à sable, depuis la version 43 du navigateur)
- les codecs propriétaires (que la majorité des navigateurs basés dessus intègrent, dont Opera, et même Iron depuis la dernière version 48, et la plupart des distros de Linux permettent même de les ajouter à l'install de Chromium)
- les DRM (idem que les codecs propriétaires, mais pas pour Linux, et pas tous les navigateurs sous Mac OS)
- la majorité des outils de télémétrie de Google (mais il y en a, et désactivable, d'où un débat houleux avec Iron)
- quelques corrections de bugs, et évolutions, en retard d'une version, mais ce n'est pas systématique

Donc concernant HTTP/2 et ce qui est inclus avec, à part le dernier point, c'est le même combat entre Chrome et Chromium.

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #32 le: 22 février 2016 à 01:32:03 »
Chromium c'est Chrome, moins:
...les codecs propriétaires (que la majorité des navigateurs basés dessus intègrent, dont Opera,...
Voudrais -tu dire que les dernières versions d'Opera sont basées sur Chromium ??   
« Modifié: 22 février 2016 à 02:23:49 par Marco POLO »

vivien

  • Administrateur
  • *
  • Messages: 47 084
    • Twitter LaFibre.info
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #33 le: 22 février 2016 à 02:29:56 »
Oui, Opera 15 et suivants (depuis juillet 2013) utilisent Chromium en base.

C'est un adieu à Presto, la technologie maison, et bonjour à Webkit, tel qu’utilisé par Chrome et Chromium (le projet open source qui sous-tend le développement du navigateur de Google).

Aujourd'hui il y a 3 grands moteurs de rendu pour présenter des pages web :

- Webkit et son fork Blink (Chrome / Chromium / Opera / Vivaldi / Safari / Konqueror/ Epiphany / Android - Le navigateur par défaut / OmniWeb / Shiira /Midori / Arora / QupZilla / Webster / SunriseBrowser /  DeskBrowse / navigateur Web du S60 de Nokia / Maxthon / Samsung Mobile Browser / Rekonq / Uzbl / Jumanji / Uzbl / OWB / Qutebrowser

- Trident (Edge / Internet Exporer / Maxthon / AOL Explorer / Avant Browser / Sleipnir / SlimBrowser

- Gecko (Firefox / Camino / Netscape Navigator / Mozilla Suite / SeaMonkey, Galeon)

A Noter également Lunascape (navigateur web utilisant les moteurs de rendu Trident, Gecko et Webkit)

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #34 le: 22 février 2016 à 03:05:21 »
+1 pour Opera/Chromium

Lunascape est (quasi-)mort en soit, même si encore développé et supporté, mais c'est un tout autre sujet.

Pour la transition d'Opera:
- la version 13 n'a jamais existé... pour des questions de superstitions. Cela ne les a pas empêcher de vendre, et revendre leur âme (Chromium à l'époque, les chinois aujourd'hui).
- la version 14 est déjà basé sur Chromium, et elle est uniquement pour la version mobile (uniquement sous Android pour recommencer à l'époque).

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #35 le: 22 février 2016 à 03:34:08 »
Oui, Opera 15 et suivants (depuis juillet 2013) utilise Chromium en base.

C'est un adieu à Presto, la technologie maison, et bonjour à Webkit, tel qu’utilisé par Chrome et Chromium (le projet open source qui sous-tend le développement du navigateur de Google).

Aujourd'hui il y a 3 grands  moteur de rendu pour présenter des pages web :

- Webkit et son fork Blink (Chrome / Chromium / Opera / Vivaldi / Safari / Konqueror/ Epiphany / Android - Le navigateur par défaut / OmniWeb / Shiira /Midori / Arora / QupZilla / Webster / SunriseBrowser /  DeskBrowse / navigateur Web du S60 de Nokia / Maxthon / Samsung Mobile Browser / Rekonq / Uzbl / Jumanji / Uzbl / OWB / Qutebrowser

- Trident (Edge / Internet Exporer / Maxthon / AOL Explorer / Avant Browser / Sleipnir / SlimBrowser

- Gecko (Firefox / Camino / Netscape Navigator / Mozilla Suite / SeaMonkey, Galeon)

A Noter également Lunascape (navigateur web utilisant les moteurs de rendu Trident, Gecko et Webkit)
...Safari aussi !?
Merci pour cette mise au clair, Vivien.