HTTP/2

Het Internet Engineering Task Force (IETF) heeft de HTTP/2-standaard afgerond. Groot nieuws, HTTP, het protocol waarmee je het internet bekijkt bestaat al sinds 1989 en het internet is nogal veranderd in die 25 jaar. De hoogste tijd dus, en de mensen van het IETF pakken door, het protocol is al onderweg naar de RFC Editor om vervolgens langs officiele weg de nieuwe standaard te worden. Ze hebben haast, en in dat opzicht lijken ze veel op hun nieuwe protocol, voornamelijk gefocussed snelheid en performance

(1).

The focus of the protocol is on performance; specifically, end-user perceived latency, network and server resource usage.

En deze focus… is ook gelijk het grote nadeel. HTTP/2 is bijna volledig gebaseerd op SPDY [Speedy], een opensource-netwerkprotocol ontwikkeld door Google (2). Hoewel die er goede gedachte achter had blijft het raar dat een enkel bedrijf zoveel invloed op een nieuwe HTTP versie heeft. Het natuurlijk fijn dat een bedrijf zoveel investeert in het ‘gemene goed’ en een beter internet, maar het gaat hierdoor enkel om de snelheid. Google richt zich duidelijk op een consumentenervaring.

Ook een standaard encryptie was bij HTTP/2 wel een beetje verwacht. Er is zoveel over te doen geweest, dat zijn ze vast niet ineens vergeten?! In de drafts wordt het e.e.a. over TLS genoemd, maar niets over standaard encryptie. Zelfs opportunistic encryption, waar encryptie waar mogelijk wordt toegepast, wordt niet genoemd.

duty_calls

Via http://xkcd.com/386/

En dat is op z’n minst opmerkelijk. Het was de IETF zelf die na de verschillende afluister-onthullingen een manifest publiceerde met de titel Pervasive Monitoring Is an Attack waarbij zij stelde dat de vergaande monitoring een aanval op het internet zelf is, en dat de IETF hier in de toekomst rekenning mee moest houden:

Those developing IETF specifications need to be able to describe how they have considered PM [Pervasive Monitoring], and, if the attack is relevant to the work to be published, be able to justify related design decisions.

Het is een beetje belachelijk, eerst een duidelijk een hard standpunt innemen en er vervolgens niet naar handelen.

Ook aan een ander privacy issue wordt niets gedaan, cookies. Bijna onzichtbaar en amper beinvloedbaar volgens ze webgebruikers van pagina naar pagina om vervolgens ‘relevante’ informatie te geven. Cookies hebben zo’n vergaande invloed op de vercommercialisering van webgebruikers dat we er hier in Nederland (en Europa) zelfs wetgeving voor hebben gemaakt.

HTTP/2 was een gouden kans om naar een “client-controlled” identificatie over te stappen. Maar aandacht heeft ook dit punt niet gekregen. En waarom niet? Ik weet het eigenlijk niet, maar Poul-Henning Kamp (4) heeft er wel een mening over:

The reason HTTP/2.0 does not improve privacy is that the big corporate backers have built their business model on top of the lack of privacy.

Poul heeft een punt. En zo krijgen we dus een nieuwe standaard. Een standaard die ons geen betere beveiliging geeft, en ook al geen betere privacy. Gemaakt voor en door commercie. Daar mag je best kritisch over zijn.

Bronnen: