Back to Question Center
0

Úvahy o HTTP Content-MD5 Semalt

1 answers:

Diskutujeme o tom, zda použít hlavičku Semalt-MD5.

Výhody:

  • CMS nám umožňuje snadno jej zahrnout s minimálními režijními náklady (80% + případů uložených v mezipaměti).
  • Byla by přidána další vrstva ochrany proti problémům.

Nevýhody:

  • Záhlaví obsahu-délka je vždy přítomna (i na dynamicky vytvořených stránkách), takže klient by neměl potřebovat jinou formu ověření.
  • Zatím nevíme žádné problémy způsobené korupcí - sedez rastreamento.
  • Kontroly MD5 zvyšují latenci časů načítání webových stránek.

Body:

  • Do některých typů médií patří jejich vlastní forma trávení, která znemožňuje to?
  • Pokud to TCP již nabízí, proč byl zahrnut do standardu HTTP?
  • Jaká jsou stávající skutečná použití?
  • Je kontrola MD5 zanedbatelná?

Není to žádný skutečný problém, aby to bylo přidáno k jednotkovému testu a provedeno, asi hodinová práce; avšak pokud je to škodlivé, pak chceme, aby byly přidány k testům vyšší úrovně čichání, které byly použity na stránkách "kontroly stavu".

February 12, 2018

TCP již má opravu chyb, ale to vám pomůže pouze ve vrstvě TCP. Zprostředkovatel HTTP proxy nebo vyrovnávací zatížení může poškodit data na vrstvě HTTP a pak ji znovu odeslat. HTTP MD5 umožňuje rozpoznat tuto korupci. Důvodem, proč nikdo skutečně nehovoří o této potřebě, je, že problém je opravdu velmi vzácný; většina HTTP proxy atd. "jen pracuje".

RFC upozorňují na bezpečnost. IMHO to je tak slabé, mělo by to být ignorováno - pokud potřebujete jakoukoli skutečnou bezpečnost a důvěrnost, pak potřebujete HTTPS.

Do některých typů médií patří jejich vlastní forma rozkladu, která zbytečně nutí?

Ne nic opravdu dobrého. Některé chyby v fotografiích, streamingu videa atd. Jsou pro člověka často nepostřehnutelné.

Řekl bych, že to závisí na případu použití:

  • V případě webových služeb založených na službě REST přidává digest užitečnou vrstvu další opravy chyb. Viz toto selhání AWS jako příklad .
  • Pro aplikace, které se zabývají kritickými daty přes čistý HTTP, stojí za to implementovat. Content-MD5 dává klientům možnost ověřit integritu přenosu napříč celým koncem.
  • U "normálních" webových stránek, které slouží jako text a média s "normální" hodnotou, nemá hlavička Content-MD5 žádný účel. A upřímně ani nevím, kolik běžných prohlížečů (PC, zejména mobilních) skutečně podporuje.

Kontroly MD5 zvyšují latenci časy načítání webových stránek.

Pokud je pravda (a latence není zcela triviální) pak bych řekl, že to nestojí za to.

Obecně platí, že poslední modifikovaná záhlaví se nejčastěji používá k určení, zda se stránka změnila. Za předpokladu, že zde získáte významnou hodnotu, nevidím žádnou potřebu pro hlavičku obsahu-md5.