Mozilla sẽ đề xuất với hiệp hội W3C khai tử giao thức HTTP
bk9sw
7 nămBình luận: 71
Firefox.jpg

Mozilla hôm nay đã công bố ý định khai thử giao thức HTTP vốn không còn an toàn và cho biết sẽ sớm đề xuất trước Nhóm nghiên cứu bảo mật ứng dụng web (WebAppSec) thuộc hiệp hội W3C. Thêm vào đó, Mozilla cho biết công ty đã cam kết tiến đến một môi trường web an toàn hơn và bắt đầu loại bỏ những tiềm năng từ các giao thức không an toàn.

Lãnh đạo bộ phận bảo mật của Mozilla - Richard Barnes nhấn mạnh rằng công ty cần làm việc với cộng đồng Internet rộng hơn để đạt được mục tiêu đầy tham vọng này. Ông nói: "Kể từ khi mục tiêu của nổ lực loại bỏ giao thức HTTP là nhằm gởi đi một thông điệp đến cộng đồng các nhà phát triển web thì họ cần phải được phát triển trong một môi trường an toàn, công việc của chúng tôi ở đây sẽ trở nên hiệu quả hơn nếu được phối hợp xuyên suốt cộng đồng web." Barnes cũng đưa ra các kế hoạch 2 chiều của Mozilla nhưng không cho biết trình duyệt Firefox sẽ bị tác động như thế nào:

Đầu tiên, Mozilla hy vọng sẽ thiết lập được một mốc thời gian và kể từ sau thời điểm này, tất cả các tính năng mới của trình duyệt chỉ khả dụng đối với các trang web an toàn. Barnes cho biết cộng đồng sẽ thiết lập khái niệm cho các tính năng được xem là "mới" nhưng về bản chất thì có thể hiểu các tính năng này chỉ khả dụng với các trang dùng giao thức HTTPS.

Thứ 2, Mozilla muốn từ từ triệt tiêu khả năng truy xuất của các trang không an toàn đến các tính năng của trình duyệt (đặc biệt là những trang ẩn chứa nguy cơ bảo mật và phơi bày thông tin riêng tư của người dùng). Điều này sẽ đánh đổi giữa yếu tố bảo mật và sự tương thích đối với trang web. Barnes giải thích: "Việc loại bỏ các tính năng từ một trang web không an toàn sẽ khiến các trang không thể hiển thị đầy đủ. Do đó, chúng tôi sẽ phải giám sát các góc độ tương thích và cân bằng với các lợi ích bảo mật. Chúng tôi cũng sẽ nới lỏng những giới hạn yêu cầu đối với các tính năng của trình duyệt khi được các trang web không an toàn sử dụng."

Chưa rõ kế hoạch của Mozilla có thành công hay không nhưng có thể nói công ty giờ đây đang khởi động một cuộc chiến sống còn với HTTP.

Theo: VentureBeat
71 bình luận
hoatongoc
TÍCH CỰC
7 năm
HTTP chết đi cũng là lẽ phải, HTTPS đang dần phổ biến hơn hẳn, và tất cả các ông lớn đều viết web dựa trên HTTPS hết r mà 😁
bamboovn1
TÍCH CỰC
7 năm
@hoatongoc Vậy ah, hehe. Con mượn máy Ba con lên mạng chém gió đúng hôn? Đi học đi không thì chú méc Ba con đó nha
cuongnq01
ĐẠI BÀNG
7 năm
@webzone.vn Đưa 20$ đây mình mua cho 5 năm 😁
webzone.vn
TÍCH CỰC
7 năm
@cuongnq01 tùy loại nữa bạn. đúng ko bạn?
cuongnq01
ĐẠI BÀNG
7 năm
@webzone.vn Tuỳ nhưng cái loại 70$ bạn mua có 5$/year thôi, mình vẫn bán 50$ cho khách kèm config.
Nói chung là người dùng cuối họ thấy https và chữ xanh là được, với lại 45$ tiền config cũng hợp lý.
vythanh
CAO CẤP
7 năm
khó nam cường 😁
Lâu rồi hok còn dùng Cáo lửa nữa ạ
Razor11
CAO CẤP
7 năm
@Sơ mi nam Nhật Bản Con này là gấu ko phải cáo
webzone.vn
TÍCH CỰC
7 năm
Dùng https thì phải tốn tiền hàng năm để mua ssl hic.
buồn cho http nhưng đó là quy luật...










zmazskg
ĐẠI BÀNG
7 năm
Vãi, đâu phải ai cũng giàu để xài https
@zmazskg đến lúc mà phổ biến đại chúng đc thì nó sẽ tự động rẻ thôi, ko cần phải lo xa.
ndlong
TÍCH CỰC
7 năm
HTTPS thì phải mua cái chứng chỉ SSL rồi. Thêm khoản phí ^^
buttervn
ĐẠI BÀNG
7 năm
Càng ngày Tinh Tế toàn Tinh Tướng
chắc phải có hay hơn chứ, chứ https thì nói làm gì
khi nào https miễn phí như http thì mình sẽ dùng
webzone.vn
TÍCH CỰC
7 năm
@ngo Nhut Truong Free chỗ nào? mình đang dùng nè. Nó free dns thôi, và hỗ trợ ssl thôi mà. chứ chứng chỉ bảo mật ssl thì mình phải mua. cái thằng cloudflare khi dùng dns của nó thì nó hỗ trợ cache và chống ddos chút ít. bạn cho mình thông tin free ssl của nó với
vitunet
TÍCH CỰC
7 năm
chứng chỉ SSL đắt vãi, đâu phải ai cũng có tiền để mua
Nhưng dùng HTTPS thì phải có thêm bước mã hoá và giải mã dữ lieu... nên tốc độ duyệt web sẽ chậm lại... quan trọng là nâng cao ý thức người dùng thôi... HTTP sẽ vẫn cần cho những ứng dụng web đơn giãn, không cần tính xác thực cao
@ngo Nhut Truong Uh... vào trang chủ VietComBank.com.vn bác thấy là http (cho nhanh)... nhưng khi click "login" thì https xuất hiện (an toàn)... mỗi cái điều có mặt mạnh riêng.
Nếu điều này thành sự thật và bắt buộc... thì các công ty công nghệ của Mỹ sẽ rất có lợi... đặc biệt là các công ty cấp chứng chỉ số (Entrust, Symantec...)... nhưng sẽ thiệt cho các công ty cấp chứng chỉ số ngoài Mỹ... như vừa rồi phía Trung Quốc gây sức ép bắt Google phải thừa nhận chứng chỉ số được cấp bởi các công ty công nghệ Trung Quốc nhưng Google đã từ chối.
@Hello world Động thái này đến sau cuộc điều tra của Google về việc lạm dụng chứng chỉ số bảo mật (được dùng trong các giao thức kết nối an toàn HTTPS, SSL, TLS) từ CNNIC. Kết nối Internet giữa người dùng và website có "chứng chỉ an toàn" từ CNNIC có nguy cơ bị tấn công dạng trung gian "man-in-the-middle" (MITM), theo đó, có thể đánh chặn và thay đổi dữ liệu, hoặc "nghe lén" thông tin truyền tải liên lạc quy mô lớn.

Google loại bỏ các chứng chỉ số bảo mật của tổ chức quản lý hoạt động Internet (CNNIC) của Trung Quốc
boykeosualc
ĐẠI BÀNG
7 năm
Webmaster ko thích điều này
livepc2002
ĐẠI BÀNG
7 năm
Bạn sai lầm nhé ! Nếu code web ko theo tiêu chuẩn https thì khi gởi request sẽ bị lổi.

Nếu nói như bạn thì chỉ cần cấu hình ở server thêm chứng chỉ là xong. Nhưng trong code web củ trước đó chạy tốt với http nhưng chưa chắc đã chạy được https .

Ý tui nói mọi request ngầm phía dưới đều phải mã hóa. Nếu là kiểu GET thì có trục trặc khác lớn.
webzone.vn
TÍCH CỰC
7 năm
@livepc2002 Vẫn không hiểu ý bạn cho lắm. Mình đã làm web cũng đc 5 năm, Lúc trước thì không dùng ssl, nhưng 2 năm trở lại đây khách hàng yêu cầu SSL rất nhiều ( 1 phần là do có liên quan tới thanh toán trực tuyến). Mình cũng code bình thường không tối ưu gì https (thực sự là minh không biết tối ưu như thế nào). Nhưng vẫn chạy HTTPS bình thường thôi. Mình chỉ gặp rắc rồi với với setup SSL với Webserver. chứ khi setup OK thì website mình chạy bình thường mặc dù không tối ưu gì hết, Mình thường dùng Framework (Django) để viết website, Django có tối ưu https hay không thì mình không biết. chứ mình code thì chắc chắn là không.
livepc2002
ĐẠI BÀNG
7 năm
@webzone.vn Chào bạn nếu bạn dùng framwork có sẳn thì mọi chuyện người ta đã làm hết rồi.

Còn bên mình xây dựng framework riêng nên khi test code mới phát sinh lổi khi chạy ở 2 giao thức http và https.
@livepc2002 Theo như mình hiểu, thường lỗi của việc chuyển đổi giữa 2 giao thức là 1 trong 2 có chứa dữ liệu mã hóa hoặc không mã hóa mà phía server nhận được header là không mã hóa/mã hóa, ngược lại. Khi đó tầng Secure Socket Layer tương ứng với tầng Application không thể thực hiện 3-way handshake thông thường và xuất hiện lỗi. Đó không phải là lỗi do ngôn ngữ lập trình, mà là do lập trình không theo quy chuẩn!
hacrot3000
TÍCH CỰC
7 năm
@livepc2002 Chắc bạn chưa setup thử một trang chạy https bao giờ. Hoặc bạn code nhưng lại hardcode link theo http nên khi lên https phải ngồi lọ mọ sửa từng cái link một. Hoặc bạn viết cho mấy công ty bán web mỳ ăn liền siêu siêu siêu rẻ và nhúng script/css từ các nguồn http bên ngoài dẫn tới ác cảm với https.

Thực tế thì ngoại trừ những lý do trên ra chẳng có một trang web nào chạy được trên http mà không chạy được trên https cả.
webzone.vn
TÍCH CỰC
7 năm
Mình từng setup ssl cho 1 domain (pixelshirt.fr vì thằng paypal-express nó cần có ssl để callback) chạy webserver là Nginx (cũng là lần đâu tiên setup ssl luôn). Lúc đầu làm theo hướng dẫn của comodo (vì mua của thằng này) website chạy trên IE, Chrome, FF, Safari desktop OK. Nhưng khi chạy trên trình duyệt mobi thì nó lại bị chận lại do ssl không đc chấp nhận. mình phải mất rất nhiều thời gian tham khảo tài liệu từ comodo và Nginx mới có thể Fix đc lỗi trên.

Đúng là ssl giúp website bảo mật hơn nhưng mà việc setup chứng chỉ cũng là cả một vấn đề. Nếu setup không đúng thì website của bạn sẽ không ổn định, nhiều khi chạy đc trên win nhưng trên Mac thì nó lại lỗi. Chạy đc trên Desktop thì mobile lại bị lỗi. Nếu là 1 website bình thường, không có thanh toán trực tuyến thì mình nghĩ SSL không có cũng đc.
@webzone.vn Đâu phải chỉ mỗi thông tin thanh toán mới cần bảo vệ, các dữ liệu khác liên quan đến quyền riêng tư cá nhân cũng cần bảo vệ mà, nên tốt nhất là mã hóa hết luôn cho lành.
@webzone.vn Kinh! Bạn code web Django 5 năm rồi, vãi thật 😁 Mình thì đang ngồi học python. Mới chuyển từ .NET sang 😃
webzone.vn
TÍCH CỰC
7 năm
@gauto988 - Django làm web rất nhanh. khi bạn thích nó rồi thì bạn không muốn chuyển sang framework khác để làm web đâu. mình chỉ mới biết django đc 3 năm thôi. Lúc trước mình dùng Php codeigniter.

- Bạn đã biết .NET thì bạn vào thẳng Document của Django là theo nó luôn đi. Python là ngôn ngữ Lập Trình hướng đối tượng dễ học nhất mà mình từng biết. bạn không cần học nhiều về Python đâu vì bạn đã biết về .NET rồi mà.
@webzone.vn Mình thì code .NET cũng 5 năm rồi. Đang từ bỏ .NET để học Django, đang hì hục ngồi học python để làm startup 😃








  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2021 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019