ACM通信
实践
HTTP/2.0: IETF正在打电话进来
图片来源:Peter Crowther Associates
很久以前的1989年,罗纳德·里根(ronald Reagan)是总统,尽管只担任了任期的最后19天半。在这一年结束之前,泰勒·斯威夫特出生了,安德烈·萨哈罗夫和塞缪尔·贝克特去世了。
从长远来看,1989年最令人难忘的事件可能是蒂姆·伯纳斯-李破解了HTTP协议,并将其命名为“万维网”。(这个名字的一个显著特点是缩写“WWW”的音节是原来的三倍,发音时间更长。)
Berners-Lee的HTTP协议运行在10Mbit/s以太网和同轴电缆上,他的计算机是一台时钟频率为25MHz的NeXT Cube。大约26年后,我的笔记本电脑的CPU速度比伯纳斯-李的电脑快100倍,内存是他的电脑的1000倍,但HTTP协议还是一样的。
几周前,互联网工程指导小组(IESG)就新的“HTTP/2.0”协议(https://tools.ietf.org/id/draft-ietfhttpbis-http2),然后将其列为“拟议标准”。
有些人希望这个世界上最流行的协议能有一次重大的更新,成为技术杰作和未来协议设计学生的教科书范例。一些人预计,斯诺登泄密事件期间设计的协议将改善他们的隐私。其他人则会更加愤世嫉俗地怀疑相反的情况。可能有一个普遍的假设是“更快”。许多人可能还会认为它“更环保”。我们中的一些人已经厌倦了看到“2.0”,并嘟囔:“哎呀,第二系统综合症。”
小抄上的答案是:没有,没有,可能没有,可能没有,有。
如果这听起来没什么意思,那是因为事实就是如此。
HTTP/2.0不是技术上的杰作。它有分层的违反、不一致、不必要的复杂性、糟糕的妥协、错过许多成熟的机会等等。如果我的(假设的)协议设计课上的学生提交了这门课,我会给他们不及格。HTTP/2.0也不能改善您的隐私。在SSL/TLS中封装HTTP/2.0可能会也可能不会改善您的隐私,就像在SSL/TLS中封装HTTP/1.1或任何其他协议一样。但是HTTP/2.0本身并没有改善您的隐私。这几乎是三重讽刺,因为HTTP的主要拖累是cookie,这是一个重要的隐私问题,欧盟已经立法要求通知它们。HTTP/2.0可以去掉cookie,取而代之的是客户端控制的会话标识符。这将使用户完全有权决定他们什么时候想被跟踪,什么时候不想在隐私方面得到重大改善。它还可以节省带宽和数据包。 But the proposed protocol does not do this.
好消息是HTTP/2.0可能也不会减少您的隐私。它确实为服务器端增加了一些“指纹识别”的机会,但是已经有很多通过cookie、Java Script、Flash等方式进行指纹识别的方法,所以这可能并不重要。
你可能会认为使用HTTP/2.0可以更快地加载网页,但这可能只在内容提供者拥有全球服务器网络的情况下才会发生。涉及的个人计算机,包括你自己的计算机,将不得不做更多的工作,特别是对高速和大型对象,如音乐、电视和电影。还没有人演示过一个HTTP/2.0实现可以接近当代的连线速度。更快呢?不是真的。
这也回答了关于环境足迹的问题:HTTP/2.0将比HTTP/1.1需要更多的计算能力,从而导致CO增加2污染加剧了气候变化。你可能会认为,一个针对数千万台计算机的协议应该受到一些环保审查,但令人惊讶的是,至少对我来说,我没能找到任何证据表明IETF考虑了对环境的影响。
是的,第二系统综合症很厉害。
鉴于这份相当平庸的评分表,您可能想知道为什么HTTP/2.0会被认为是一个标准。
答案是政治
谷歌提出了SPDY协议,因为他们有自己的浏览器,所以他们可以根据自己的选择来优化协议,以满足自己的特殊需求。SPDY是一个非常好的原型,它清楚地表明在HTTP协议的新版本中存在改进的潜力。谷歌为此喝彩。但在一些人看来,SPDY也开始变得很像一个“有围墙的花园”,更重要的是,在其他公司看来,政治开始浮出水面。
IETF显然担心与之无关,匆忙地“发现”HTTP/1.1协议需要更新,并指派一个工作组在不切实际的短时间内准备它。这就排除了除SPDY协议之外的任何新的HTTP/2.0基础。只有SPDY最丑陋的缺陷被去除,所有其他改进的尝试都因“不在范围内”、“太迟了”或“没有达成共识”而被拒绝,IETF现在可以通过承认几乎所有曾经珍视的原则来获得谷歌倡议的橡皮图章特权,从而宣称自己的重要性和胜利。
但政治还不止于此。
HTTP/2.0没有改善隐私的原因是大公司的支持者在缺乏隐私的基础上建立了他们的商业模式。他们对国安局监视全世界几乎所有人感到非常不安,但他们不想做任何阻止他们做同样事情的事情。HTTP/2.0的支持者也试图将它作为“任何地方的SSL”议程的杠杆,尽管事实上许多HTTP应用程序不需要、不希望甚至可能被法律禁止使用加密。
您的国家、州或县紧急网页?
当事情发生爆炸、河流泛滥或人们中毒时,地方政府不希望花费资源与当地的每一台智能手机协商SSL/TLS。类似地,大型新闻网站更看重的是能够发布新闻,而不是能够隐藏他们正在发布新闻的事实,特别是当有重大事件发生时。(难道IETF的每个人都忘记了CNN 14年前的指数流量图吗?)
HTTP/2.0没有改善隐私的原因是大公司的支持者在缺乏隐私的基础上建立了他们的商业模式。
所谓的多媒体业务约占网络流量的30%,它不愿被迫将资源花在毫无意义的加密上。甚至还有一些人在法律上被禁止拥有交流隐私:儿童、囚犯、金融交易员、中央情报局分析师等等。然而,尽管如此,HTTP/2.0将只支持SSL/TLS,在至少3 / 4的主要浏览器中,为了强制执行特定的政治议程。具有讽刺意味的是,同样的浏览器将自签名证书视为致命的危险,尽管它们以微不足道的代价提供了保密性。(保密意思是只有你和对方可以解码正在沟通的内容。隐私是对已确认或已验证的其他方的保密。)
历史压倒性地表明,如果你想让世界变得更好,你应该提供让世界变得更好的好工具,而不是让世界变得更好的政策。我建议任何在这个问题上有发言权的人都不要赞成HTTP/2.0标准草案:它不是一个好的协议,甚至也不是好的政治。
相关文章
在queue.acm.org
使用HTTP 2.0使网络更快
Ilya Grigorik
http://queue.acm.org/detail.cfm?id=2555617
更好、更快、更安全
布莱恩·卡彭特
http://queue.acm.org/detail.cfm?id=1189290
软件产业是问题所在
Poul-Henning坎普
http://queue.acm.org/detail.cfm?id=2030258
数字图书馆是由计算机协会出版的。版权所有©2015 ACM, Inc.
没有发现记录