Защищенное соединение HTTPS + GZip компрессия =?

Question

[Max Bozhenov]

Доброго времени суток!

Собственно, вопрос из заголовка. В nginx конфигурации сказано, что лучше не использовать gzip, если сайт использует https соединение. Но! Если не использовать gzip, google speed test режет результат примерно на 20 очков, что довольно много... Но и не смотря на это, google активно пропогандирует, что мы должны использовать защищенное соединение https... Как же быть? Как подружить этих двух пацанов?

пс: погуглив другие проекты с https соединением, выяснилось, что владельцы сайтов либо вообще не знают про минимификацию и компрессию, либо у них все включено, и https, и gzip... причем большинство сайтов даже до 80 очков не дотягивает.

Answer 1

[Игорь Воротнёв]

gzip и https вместе работают без проблем, однако это открывает несколько потенциальных уязвимостей. При правильной и умелой конфигурации, с учетом этих новых векторов атаки и их mitigation по уму, использовать gzip + https можно и нужно. Но, поскольку многие пользователи дупля не отдают что они делают в своих конфигах, такое сочетание по умолчанию не рекоммендуется. почитайте, к примеру, тут.

Answer 2

[Александр Аксентьев]

причем большинство сайтов даже до 80 очков не дотягивает.

потому что эта оценка крайне однобокая. И с реальностью мало общего.
Особенно когда оно говорит что можно уменьшить картинки и JS котоыре уже минифицированы.
Еще не видел ни одного сайты который влезает в топовые оценки по этому счетчику.
Даже сам гугла там выдает результаты на уровне дна(сейчас правда выдает много из-за того что вместо страницы каптча вылезает xD).
Лучше использовать более широкие инструменты типа https://tools.pingdom.com/
Более информативный результат.

не использовать gzip, если сайт использует https соединение

первый раз про это слышу.
Гугл ничего не выдал кроме уязвимости из 2012 года, которая уже пофикшена давным давно.
В остальном не вижу никаких причин это делать.

Comments

[Max Bozhenov]

Еще не видел ни одного сайта который влезает в топовые оценки по этому счетчику

Ну это такое... я вот сейчас работаю над проектом, https://fxrebates.online
И учитывая, что сайт не готов и много не доработок, его результат по google speed test 91 / 97 баллов, если поиграться с критическим путем и пофиксить еще мелкую проблему, то возможно будет 99-100. Вот только критический путь вещь такая... иногда лучше ее не трогать. Меньше головной боли будет =)

Гугл ничего не выдал кроме уязвимости из 2012 года, которая уже пофикшена давным давно.
В остальном не вижу никаких причин это делать.

Если это так, то очень здорово!

[Александр Аксентьев]

Max Bozhenov: у меня даже на пустых лендосах выдавало тонну рекомендаций. И даже близко к 100 не подходило.
Так же как и любые сайты которые проверял там.

Даже под CloudFlare с кешем и минификацией вообще всего и кешированием полным он ругает кеш/размер

[Max Bozhenov]

Александр Аксентьев: в качестве примера, прикрепил выше ссылку

[Александр Аксентьев]

Max Bozhenov: на куске вёрстки это конечно такое себе тестирование :)

Прошел сейчас по некоторым сайтам, оценки выше стали. Видимо что-то меняют в подсчете.
Не так строго/криво уже.

[zooks]

Реально бред же. HTTPS и Gzip отлично работают вместе.
Скорей всего автор спутал минификацию с gzip.

[Max Bozhenov]

Александр Аксентьев: на каком куске верстки? там полностью рабочее и взаимодействующее с laravel и mysql (та же фэйковая информация подтягивается из бд, там всего пару блоков захардкоденых) приложение, + интерактивные элементы есть, написанные на vue.js + разные библиотеки, типа owl-carousel и jquery. Вы если в чем то не уверены, лучше не начинайте об этом говорить.

[Max Bozhenov]

zooks: потом после работы, лично для вас, скину скрин из конфига nginx из vps, где написано, что лучше не включать gzip вместе с ssl. Не нужно свои догадки писать, что я что то перепутал, как вообще можно спутать минификацию с gzip? Сильно умные что ли?

[Александр Аксентьев]

Max Bozhenov: я что за интрнет плачу чтоб ваш код изучать!?

не увидел ни одной ссылки рабочей, страниц нет, тексты рыба.
Сделал вывод что это вёрстка только.

нашел ссылку на логин
https://developers.google.com/speed/pagespeed/insi...
гуглу уже не понравилась страница с одной лишь формой, о чем собственно я и писал ранее.
целая страница с кучей всего нормально выдает рейтинг, пустая страница на полтора элемента - уже показывает дно какое-то.

[Max Bozhenov]

Александр Аксентьев: а кто тестирует логин страницы? //_-) вы еще протестируйте закрытый контент, дашбоарды и т.д...

Тестируются только те страницы, которые нужно будет индексировать и показывать в поисковике, а на кой черт мне логин/регистр страницы индексирвать?

Страница не завершена в плане кое какой логики и дизайна, и адаптивности, а так там все работает, и осталось только рыбный текст в бд, заменить на нормальный, но пока не вижу в этом смысла, так как до завершения еще далеко.

[Игорь Воротнёв]

Max Bozhenov: zooks: gzip и https вместе работают без проблем, однако это открывает несколько потенциальных уязвимостей. При правильной и умелой конфигурации, с учетом этих новых векторов атаки и их mitigation по уму, использовать gzip + https можно и нужно. Но, поскольку многие пользователи дупля не отдают что они делают в своих конфигах, такое сочетание по умолчанию не рекоммендуется. почитайте, к примеру, тут.

[Max Bozhenov]

Игорь Воротнёв: вот, спасибо! Этого ответа и ждал! Если не сложно, продублируй ответ выше веткой, что бы мог закрепить.

[Игорь Воротнёв]

Max Bozhenov: продублировал ответом

[zooks]

Игорь Воротнёв: спасибо, уже нагуглил ранее ответы Сысоева по nginx. В новой версии данной уязвимости нет. И сжатие SSL (а не gzip) отключено.

[Игорь Воротнёв]

zooks: возможно, сам уже давненько не пересматривал обновления

Answer 3

[Пума Тайланд]

включите гзип и не майтесь

Answer 4

[havemanyquestions]

Тоже задался этим вопросом, но как будто бы никто из ответчиков не понимает о чем речь.
https://security.stackexchange.com/questions/65625...
https://xakep.ru/2013/08/07/61037/
breachattack.com
Проблема, судя по всему, осталась. Совместно использовать можно, но нужно понимать что и как настраивать.