Re: Gzip + https: есть-ли смысл?

[Andrey Velikoredchanin]

Ясно. Спасибо всем за пояснения!

23 июля 2018 г., 15:34 пользователь Maxim Dounin 
написал:

> Hello!
>
> On Mon, Jul 23, 2018 at 08:57:08AM +0300, Andrey Velikoredchanin wrote:
>
> > Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
> >
> > 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
> > рекомендуется, т.к. есть проблемы с безопасностью.
>
> Всё так.  Именно из-за наличия этого механизма могло быть "что-то
> об этом слышал" в контексте SSL - одно время были попытки
> пропагандировать идею "gzip в HTTP не нужен, если есть сжатие на
> уровне SSL/TLS".  В современном мире этот механизм не
> используется, соответственно использование gzip'а ничем не
> отличается от такового в случае отсутствия SSL.
>
> > 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к.
> > это НЕ внутреннее сжатие SSL.
>
> Да, использование gzip'а для статического контента в случае SSL
> ничем не отличается от такового в случае без SSL.  Если выигрыш
> есть - сжатие стоит использовать, если нет - не стоит.  Если
> статика меняется редко, можно подумать об использовании
> gzip_static вместо gzip.
>
> > Я правильно понял?
>
> Да.
>
> Отмечу также, что в случае динамического контента и SSL проблема
> использования gzip приобретает дополнительные нюансы, так как
> результат может быть опять же уязвим к атакам, см.
> https://en.wikipedia.org/wiki/BREACH.
>
> --
> Maxim Dounin
> http://mdounin.ru/
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Maxim Dounin]

Hello!

On Mon, Jul 23, 2018 at 08:57:08AM +0300, Andrey Velikoredchanin wrote:

> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
> 
> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
> рекомендуется, т.к. есть проблемы с безопасностью.

Всё так.  Именно из-за наличия этого механизма могло быть "что-то 
об этом слышал" в контексте SSL - одно время были попытки 
пропагандировать идею "gzip в HTTP не нужен, если есть сжатие на 
уровне SSL/TLS".  В современном мире этот механизм не 
используется, соответственно использование gzip'а ничем не 
отличается от такового в случае отсутствия SSL.

> 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к.
> это НЕ внутреннее сжатие SSL.

Да, использование gzip'а для статического контента в случае SSL 
ничем не отличается от такового в случае без SSL.  Если выигрыш 
есть - сжатие стоит использовать, если нет - не стоит.  Если 
статика меняется редко, можно подумать об использовании 
gzip_static вместо gzip.

> Я правильно понял?

Да.

Отмечу также, что в случае динамического контента и SSL проблема 
использования gzip приобретает дополнительные нюансы, так как 
результат может быть опять же уязвим к атакам, см. 
https://en.wikipedia.org/wiki/BREACH.

-- 
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Konstantin Tokarev]

23.07.2018, 10:12, "Илья Шипицин" :
> пн, 23 июл. 2018 г. в 12:03, Andrey Velikoredchanin :
>> У меня основная цель - текстовую статику жать: html, css, js (в среднем все 
>> больше 1Кб). Для этого имеет смысл включать gzip под ssl?
>
> в общем случае - не имеет (потому что есть проблемы с безопасностью)

директива gzip не имеет отношения к сжатию уровня SSL, так что проблем нет

> в конкретно вашем - исследуйте ))
>
>> 23 июля 2018 г., 9:57 пользователь Илья Шипицин  
>> написал:
>>> пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin :
 Максим, спасибо за ответ!

 Однако, он не совсем прояснил ситуацию. Попробую переформулировать...

 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не 
 рекомендуется, т.к. есть проблемы с безопасностью.
 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к. 
 это НЕ внутреннее сжатие SSL.
>>>
>>> пасьянс на самом деле более запутанный.
>>>
>>> gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в том числе 
>>> заголовки (но ssl компрессия выключена при сборке nginx по причинам 
>>> безопасности)
>>> в качестве вишенки на торте - http2, у него есть свои механизмы для 
>>> минификации трафика (в том числе сжатые заголовки).
>>>
>>> если включать ssl компрессию, надо аккуратно, на ответах порядка 1Кб у нее 
>>> по опыту отрицательный выигрыш
>>>
 Я правильно понял?

 23 июля 2018 г., 1:59 пользователь Maxim Dounin  
 написал:
> Hello!
>
> On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:
>
>> Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
>> почему-то не смог найти информацию о том, имеет-ли смысл включать gzip 
>> для
>> статики если сайт работает через https? Я помню что что-то об этом 
>> слышал,
>> но, как уже отметил - не смог найти подтверждения этому.
>
> Есть.
>
> Одно время люди из мира SSL/TLS пытались продвигать сжатие на
> уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
> пытались, и б) делает динамический контент уязвимым к атакам, см.
> https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда
> запрещает сжатие на уровне SSL.
>
> --
> Maxim Dounin
> http://mdounin.ru/
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
 ___
 nginx-ru mailing list
 nginx-ru@nginx.org
 http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>>
>>> ___
>>> nginx-ru mailing list
>>> nginx-ru@nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>> ___
>> nginx-ru mailing list
>> nginx-ru@nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
> ,
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru


-- 
Regards,
Konstantin
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Kostya Alexandrov]

2. Да. Имеет полный. Посмотрите так же в сторону 
http://nginx.org/ru/docs/http/ngx_http_gzip_static_module.html



On 23/07/2018 10:03, Andrey Velikoredchanin wrote:
У меня основная цель - текстовую статику жать: html, css, js (в 
среднем все больше 1Кб). Для этого имеет смысл включать gzip под ssl?


23 июля 2018 г., 9:57 пользователь Илья Шипицин > написал:




пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin
mailto:unclean...@gmail.com>>:

Максим, спасибо за ответ!

Однако, он не совсем прояснил ситуацию. Попробую
переформулировать...

1. Есть некий механизм сжатия, встроенный в SSL. Его
использовать не рекомендуется, т.к. есть проблемы с
безопасностью.
2. Включать "gzip on;" для статического контента под SSL есть
смысл, т.к. это НЕ внутреннее сжатие SSL.


пасьянс на самом деле более запутанный.

gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в
том числе заголовки (но ssl компрессия выключена при сборке nginx
по причинам безопасности)
в качестве вишенки на торте - http2, у него есть свои механизмы
для минификации трафика (в том числе сжатые заголовки).

если включать ssl компрессию, надо аккуратно, на ответах порядка
1Кб у нее по опыту отрицательный выигрыш


Я правильно понял?

23 июля 2018 г., 1:59 пользователь Maxim Dounin
mailto:mdou...@mdounin.ru>> написал:

Hello!

On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey
Velikoredchanin wrote:

> Извиняюсь если вопрос древний (а у меня есть такое
подозрение), но
> почему-то не смог найти информацию о том, имеет-ли смысл
включать gzip для
> статики если сайт работает через https? Я помню что
что-то об этом слышал,
> но, как уже отметил - не смог найти подтверждения этому.

Есть.

Одно время люди из мира SSL/TLS пытались продвигать сжатие на
уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы
они и не
пытались, и б) делает динамический контент уязвимым к
атакам, см.
https://en.wikipedia.org/wiki/CRIME
. Так что nginx всегда
запрещает сжатие на уровне SSL.

-- 
Maxim Dounin

http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org 
http://mailman.nginx.org/mailman/listinfo/nginx-ru



___
nginx-ru mailing list
nginx-ru@nginx.org 
http://mailman.nginx.org/mailman/listinfo/nginx-ru



___
nginx-ru mailing list
nginx-ru@nginx.org 
http://mailman.nginx.org/mailman/listinfo/nginx-ru





___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru


___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Илья Шипицин]

пн, 23 июл. 2018 г. в 12:03, Andrey Velikoredchanin :

> У меня основная цель - текстовую статику жать: html, css, js (в среднем
> все больше 1Кб). Для этого имеет смысл включать gzip под ssl?
>

в общем случае - не имеет (потому что есть проблемы с безопасностью)
в конкретно вашем - исследуйте ))


>
> 23 июля 2018 г., 9:57 пользователь Илья Шипицин 
> написал:
>
>>
>>
>> пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin > >:
>>
>>> Максим, спасибо за ответ!
>>>
>>> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
>>>
>>> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
>>> рекомендуется, т.к. есть проблемы с безопасностью.
>>> 2. Включать "gzip on;" для статического контента под SSL есть смысл,
>>> т.к. это НЕ внутреннее сжатие SSL.
>>>
>>
>> пасьянс на самом деле более запутанный.
>>
>> gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в том
>> числе заголовки (но ssl компрессия выключена при сборке nginx по причинам
>> безопасности)
>> в качестве вишенки на торте - http2, у него есть свои механизмы для
>> минификации трафика (в том числе сжатые заголовки).
>>
>> если включать ssl компрессию, надо аккуратно, на ответах порядка 1Кб у
>> нее по опыту отрицательный выигрыш
>>
>>
>>>
>>> Я правильно понял?
>>>
>>> 23 июля 2018 г., 1:59 пользователь Maxim Dounin 
>>> написал:
>>>
 Hello!

 On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:

 > Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
 > почему-то не смог найти информацию о том, имеет-ли смысл включать
 gzip для
 > статики если сайт работает через https? Я помню что что-то об этом
 слышал,
 > но, как уже отметил - не смог найти подтверждения этому.

 Есть.

 Одно время люди из мира SSL/TLS пытались продвигать сжатие на
 уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
 пытались, и б) делает динамический контент уязвимым к атакам, см.
 https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда
 запрещает сжатие на уровне SSL.

 --
 Maxim Dounin
 http://mdounin.ru/
 ___
 nginx-ru mailing list
 nginx-ru@nginx.org
 http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>>
>>>
>>> ___
>>> nginx-ru mailing list
>>> nginx-ru@nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>>
>> ___
>> nginx-ru mailing list
>> nginx-ru@nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Andrey Velikoredchanin]

У меня основная цель - текстовую статику жать: html, css, js (в среднем все
больше 1Кб). Для этого имеет смысл включать gzip под ssl?

23 июля 2018 г., 9:57 пользователь Илья Шипицин 
написал:

>
>
> пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin  >:
>
>> Максим, спасибо за ответ!
>>
>> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
>>
>> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
>> рекомендуется, т.к. есть проблемы с безопасностью.
>> 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к.
>> это НЕ внутреннее сжатие SSL.
>>
>
> пасьянс на самом деле более запутанный.
>
> gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в том числе
> заголовки (но ssl компрессия выключена при сборке nginx по причинам
> безопасности)
> в качестве вишенки на торте - http2, у него есть свои механизмы для
> минификации трафика (в том числе сжатые заголовки).
>
> если включать ssl компрессию, надо аккуратно, на ответах порядка 1Кб у нее
> по опыту отрицательный выигрыш
>
>
>>
>> Я правильно понял?
>>
>> 23 июля 2018 г., 1:59 пользователь Maxim Dounin 
>> написал:
>>
>>> Hello!
>>>
>>> On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:
>>>
>>> > Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
>>> > почему-то не смог найти информацию о том, имеет-ли смысл включать gzip
>>> для
>>> > статики если сайт работает через https? Я помню что что-то об этом
>>> слышал,
>>> > но, как уже отметил - не смог найти подтверждения этому.
>>>
>>> Есть.
>>>
>>> Одно время люди из мира SSL/TLS пытались продвигать сжатие на
>>> уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
>>> пытались, и б) делает динамический контент уязвимым к атакам, см.
>>> https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда
>>> запрещает сжатие на уровне SSL.
>>>
>>> --
>>> Maxim Dounin
>>> http://mdounin.ru/
>>> ___
>>> nginx-ru mailing list
>>> nginx-ru@nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>>
>> ___
>> nginx-ru mailing list
>> nginx-ru@nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Илья Шипицин]

пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin :

> Максим, спасибо за ответ!
>
> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
>
> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
> рекомендуется, т.к. есть проблемы с безопасностью.
> 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к.
> это НЕ внутреннее сжатие SSL.
>

пасьянс на самом деле более запутанный.

gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в том числе
заголовки (но ssl компрессия выключена при сборке nginx по причинам
безопасности)
в качестве вишенки на торте - http2, у него есть свои механизмы для
минификации трафика (в том числе сжатые заголовки).

если включать ssl компрессию, надо аккуратно, на ответах порядка 1Кб у нее
по опыту отрицательный выигрыш


>
> Я правильно понял?
>
> 23 июля 2018 г., 1:59 пользователь Maxim Dounin 
> написал:
>
>> Hello!
>>
>> On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:
>>
>> > Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
>> > почему-то не смог найти информацию о том, имеет-ли смысл включать gzip
>> для
>> > статики если сайт работает через https? Я помню что что-то об этом
>> слышал,
>> > но, как уже отметил - не смог найти подтверждения этому.
>>
>> Есть.
>>
>> Одно время люди из мира SSL/TLS пытались продвигать сжатие на
>> уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
>> пытались, и б) делает динамический контент уязвимым к атакам, см.
>> https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда
>> запрещает сжатие на уровне SSL.
>>
>> --
>> Maxim Dounin
>> http://mdounin.ru/
>> ___
>> nginx-ru mailing list
>> nginx-ru@nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Andrey Velikoredchanin]

Максим, спасибо за ответ!

Однако, он не совсем прояснил ситуацию. Попробую переформулировать...

1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
рекомендуется, т.к. есть проблемы с безопасностью.
2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к.
это НЕ внутреннее сжатие SSL.

Я правильно понял?

23 июля 2018 г., 1:59 пользователь Maxim Dounin 
написал:

> Hello!
>
> On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:
>
> > Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
> > почему-то не смог найти информацию о том, имеет-ли смысл включать gzip
> для
> > статики если сайт работает через https? Я помню что что-то об этом
> слышал,
> > но, как уже отметил - не смог найти подтверждения этому.
>
> Есть.
>
> Одно время люди из мира SSL/TLS пытались продвигать сжатие на
> уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
> пытались, и б) делает динамический контент уязвимым к атакам, см.
> https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда
> запрещает сжатие на уровне SSL.
>
> --
> Maxim Dounin
> http://mdounin.ru/
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

[Maxim Dounin]

Hello!

On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:

> Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
> почему-то не смог найти информацию о том, имеет-ли смысл включать gzip для
> статики если сайт работает через https? Я помню что что-то об этом слышал,
> но, как уже отметил - не смог найти подтверждения этому.

Есть.

Одно время люди из мира SSL/TLS пытались продвигать сжатие на 
уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не 
пытались, и б) делает динамический контент уязвимым к атакам, см. 
https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда 
запрещает сжатие на уровне SSL.

-- 
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Gzip + https: есть-ли смысл?

[Andrey Velikoredchanin]

Всем привет!

Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
почему-то не смог найти информацию о том, имеет-ли смысл включать gzip для
статики если сайт работает через https? Я помню что что-то об этом слышал,
но, как уже отметил - не смог найти подтверждения этому.

Спасибо.
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru