HTTP Content-MD5 헤더 고려 사항

Content-MD5 헤더 사용 여부에 대해 논의 중입니다.

장점 :

• CMS를 사용하면 최소한의 오버 헤드 (경우의 80 % 이상에서 캐시 된 응답)로 쉽게 포함 할 수 있습니다.
• 문제에 대한 또 다른 보호 계층을 추가합니다.

단점 :

• Content-Length 헤더는 항상 (동적으로 생성 된 페이지에도) 존재하므로 클라이언트는 다른 형태의 유효성 검사가 필요하지 않습니다.
• 지금까지 우리는 부패로 인한 문제를 알지 못했습니다.
• MD5 검사는 웹 페이지로드 시간에 대기 시간을 추가합니다.

포인트들:

• 특정 매체 유형에이를 불필요하게하는 자체 다이제스트 형식이 포함되어 있습니까?
• TCP가 이것을 이미 제공한다면 왜 HTTP 표준에 포함 되었습니까?
• 기존의 실제 용도는 무엇입니까?
• MD5 검사는 무시할 만합니까?

단위 테스트에 추가하고 구현하는 데 약 1 시간의 작업이 실제로 문제가되지는 않습니다. 그러나 해로운 경우 웹 사이트 "상태 확인"에 사용 된 상위 수준 스 니프 테스트에 추가하기를 원합니다.

TCP에는 이미 오류 수정이 있지만 TCP 계층에서만 도움이됩니다. 중개 HTTP 프록시 또는로드 밸런서는 HTTP 계층의 데이터를 손상시킨 후 다시 전송할 수 있습니다. HTTP MD5를 사용하면이 손상을 감지 할 수 있습니다. 아무도이 필요성에 대해 실제로 이야기하지 않는 이유는 실제로 문제가 매우 드물기 때문입니다. 대부분의 HTTP 프록시 등은 "그냥 작동"합니다.

RFC는 보안을 암시합니다. IMHO 이것은 너무 약해서 무시해야합니다. 실제 보안과 기밀이 필요한 경우 HTTPS가 필요합니다.

특정 매체 유형에이를 불필요하게하는 자체 다이제스트 형식이 포함되어 있습니까?

정말 좋은 것은 없습니다. 그러나 사진, 스트리밍 비디오 등의 몇 가지 오류는 종종 사람들에게 인식되지 않을 것입니다.

사용 사례에 따라 다릅니다.

• REST 기반 웹 서비스의 경우 다이제스트에 유용한 추가 오류 정정 계층이 추가됩니다. 이 AWS 장애를 예로 들어보십시오 .
• 일반 HTTP를 통해 미션 크리티컬 데이터를 처리하는 애플리케이션의 경우 구현할 가치가 있습니다. Content-MD5는 클라이언트에게 종단 간 전송 무결성을 확인할 수있는 옵션을 제공합니다.
• 텍스트 및 '정상'값의 미디어를 제공하는 '정상'웹 사이트의 경우 Content-MD5 헤더는 용도가 없습니다. 그리고 솔직히 얼마나 많은 주류 브라우저 (PC, 특히 모바일)가 그것을 지원하는지조차 모릅니다.

MD5 검사는 웹 페이지로드 시간에 대기 시간을 추가합니다.

사실이라면 (그리고 대기 시간이 완전히 사소한 것은 아닙니다) 가치가 없다고 말하고 싶습니다.

일반적으로 마지막으로 수정 된 헤더가 페이지가 변경되었는지 확인하는 데 가장 일반적으로 사용됩니다. 의미있는 가치를 제공한다고 가정하면 content-md5 헤더 가 필요 하지 않습니다 .