Re: Gzip + https: есть-ли смысл?
Илья Шипицин
chipitsine на gmail.com
Пн Июл 23 07:11:47 UTC 2018
пн, 23 июл. 2018 г. в 12:03, Andrey Velikoredchanin <uncleandyv на gmail.com>:
> У меня основная цель - текстовую статику жать: html, css, js (в среднем
> все больше 1Кб). Для этого имеет смысл включать gzip под ssl?
>
в общем случае - не имеет (потому что есть проблемы с безопасностью)
в конкретно вашем - исследуйте ))
>
> 23 июля 2018 г., 9:57 пользователь Илья Шипицин <chipitsine на gmail.com>
> написал:
>
>>
>>
>> пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin <uncleandyv на gmail.com
>> >:
>>
>>> Максим, спасибо за ответ!
>>>
>>> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
>>>
>>> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
>>> рекомендуется, т.к. есть проблемы с безопасностью.
>>> 2. Включать "gzip on;" для статического контента под SSL есть смысл,
>>> т.к. это НЕ внутреннее сжатие SSL.
>>>
>>
>> пасьянс на самом деле более запутанный.
>>
>> gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в том
>> числе заголовки (но ssl компрессия выключена при сборке nginx по причинам
>> безопасности)
>> в качестве вишенки на торте - http2, у него есть свои механизмы для
>> минификации трафика (в том числе сжатые заголовки).
>>
>> если включать ssl компрессию, надо аккуратно, на ответах порядка 1Кб у
>> нее по опыту отрицательный выигрыш
>>
>>
>>>
>>> Я правильно понял?
>>>
>>> 23 июля 2018 г., 1:59 пользователь Maxim Dounin <mdounin на mdounin.ru>
>>> написал:
>>>
>>>> Hello!
>>>>
>>>> On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:
>>>>
>>>> > Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
>>>> > почему-то не смог найти информацию о том, имеет-ли смысл включать
>>>> gzip для
>>>> > статики если сайт работает через https? Я помню что что-то об этом
>>>> слышал,
>>>> > но, как уже отметил - не смог найти подтверждения этому.
>>>>
>>>> Есть.
>>>>
>>>> Одно время люди из мира SSL/TLS пытались продвигать сжатие на
>>>> уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
>>>> пытались, и б) делает динамический контент уязвимым к атакам, см.
>>>> https://en.wikipedia.org/wiki/CRIME. Так что nginx всегда
>>>> запрещает сжатие на уровне SSL.
>>>>
>>>> --
>>>> Maxim Dounin
>>>> http://mdounin.ru/
>>>> _______________________________________________
>>>> nginx-ru mailing list
>>>> nginx-ru на nginx.org
>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>>
>>>
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru на nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru на nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20180723/25b50598/attachment-0001.html>
Подробная информация о списке рассылки nginx-ru