max_bozhenov
@max_bozhenov
Top-notch frontend developer & ui designer

Защищенное соединение HTTPS + GZip компрессия =?

Доброго времени суток!

Собственно, вопрос из заголовка. В nginx конфигурации сказано, что лучше не использовать gzip, если сайт использует https соединение. Но! Если не использовать gzip, google speed test режет результат примерно на 20 очков, что довольно много... Но и не смотря на это, google активно пропогандирует, что мы должны использовать защищенное соединение https... Как же быть? Как подружить этих двух пацанов?

пс: погуглив другие проекты с https соединением, выяснилось, что владельцы сайтов либо вообще не знают про минимификацию и компрессию, либо у них все включено, и https, и gzip... причем большинство сайтов даже до 80 очков не дотягивает.
  • Вопрос задан
  • 977 просмотров
Решения вопроса 1
HeadOnFire
@HeadOnFire
PHP, Laravel & WordPress Evangelist
gzip и https вместе работают без проблем, однако это открывает несколько потенциальных уязвимостей. При правильной и умелой конфигурации, с учетом этих новых векторов атаки и их mitigation по уму, использовать gzip + https можно и нужно. Но, поскольку многие пользователи дупля не отдают что они делают в своих конфигах, такое сочетание по умолчанию не рекоммендуется. почитайте, к примеру, тут.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
Sanasol
@Sanasol Куратор тега Веб-разработка
нельзя просто так взять и загуглить ошибку
причем большинство сайтов даже до 80 очков не дотягивает.

потому что эта оценка крайне однобокая. И с реальностью мало общего.
Особенно когда оно говорит что можно уменьшить картинки и JS котоыре уже минифицированы.
Еще не видел ни одного сайты который влезает в топовые оценки по этому счетчику.
Даже сам гугла там выдает результаты на уровне дна(сейчас правда выдает много из-за того что вместо страницы каптча вылезает xD).
Лучше использовать более широкие инструменты типа https://tools.pingdom.com/
Более информативный результат.

не использовать gzip, если сайт использует https соединение

первый раз про это слышу.
Гугл ничего не выдал кроме уязвимости из 2012 года, которая уже пофикшена давным давно.
В остальном не вижу никаких причин это делать.
Ответ написан
opium
@opium
Просто люблю качественно работать
включите гзип и не майтесь
Ответ написан
Комментировать
@havemanyquestions
Тоже задался этим вопросом, но как будто бы никто из ответчиков не понимает о чем речь.
https://security.stackexchange.com/questions/65625...
https://xakep.ru/2013/08/07/61037/
breachattack.com
Проблема, судя по всему, осталась. Совместно использовать можно, но нужно понимать что и как настраивать.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы