• влияние задержки и пропускной способности на веб-производительность;
• ограничения, которые протокол TCP накладывает на HTTP;
• особенности и недостатки самого протокола HTTP;
• тенденции развития веб-приложений и требования к производительности;
• ограничения браузеров и возможность оптимизации.

Компания Cloudflare прекратила поддержку HTTP-портов для доступа к API Cloudflare (api.cloudflare.com). Отныне все взаимодействия с API будут осуществляться исключительно посредством защищённого протокола HTTPS.

Ранее системы Cloudflare могли перенаправлять HTTP-запросы на HTTPS или возвращать код 403 (Forbidden). Однако, как объясняет компания, даже отклонённые HTTP-запросы могут привести к утечке конфиденциальных данных.

Один из членов команды разработки Google Chrome, Эмили Старк, сообщила через Твиттер, что в бета-сборку Chrome Canary, а также в Dev-версию браузера будет добавлен экспериментальный флаг "#omnibox-default-typed-navigations-to-https".

Для указанных сборок флаг "#omnibox-default-typed-navigations-to-https" будет включен по умолчанию. Также новая функция будет добавлена в выпуск 89, релиз которого намечен на завтра, 02.03.2021 г.

Некоторые пользователи столкнулись с проблемами в работе последних версий Firefox (96.0 и 95.02). При отключении шифрования DoH (DNS-over-HTTPS) браузер не может установить какие-либо соединения. В итоге они начали отключать HTTP/3, чтобы восстановить работу браузера.

Опубликован новый вариант атаки "HTTP Request Smuggling", позволяющей «вклиниться» в запросы других пользователей при использовании HTTP/1.1 persistent connection между прокси (фронтендом) и бэкендом.

Продемонстрирована возможность кражи кук, авторизационных данных, подстановки стороннего js-кода и т. п.; атаке оказались подвержены Netflix, Atlassian, AWS, F5 BIG-IP…

На мероприятии CodeFest 12 в Новосибирске CTO ВКонтакте и VK Видео Александр Тоболь рассказал о внедрении на платформе VK Видео технологии передачи данных на базе нового интернет-протокола HTTP/3 для ускорения доставки видеоконтента. По словам компании VK, данное улучшение будет заметно для пользователей с нестабильным интернет-соединением. Например, в мобильных сетях время старта ролика сократится на 20–25%. Протокол внедрен как на платформе VK Видео, так и в VK Клипах.

Google собирается повысить безопасность пользователей Chrome с помощью новой функции, которая позволит автоматически обновлять веб-страницы до HTTPS. Режим HTTPS-First напоминает режим HTTPS-Only в Firefox.

В настоящий момент сайты некоторых банков, попавшие под санкции, не открываются по протоколу https. На текущий момент по протоколу https не открываются сайты Центробанка, Промсвязьбанка. Около получаса назад по этой же причине не открывался сайт ВТБ.

Во всех перечисленных случаях сертификаты были выданы одним и тем же удостоверяющим центром. Согласно уведомлению, которое выводит антивирус при "остановке перехода на недостоверный сайт" - "Причина: Для этого сертификата или для одного из сертификатов в цепочке была аннулирована доверенность". Попасть на указанные сайты по протоколу https можно только, нажав на ссылку "Я понимаю риск и хочу перейти на сайт". Большая часть пользователей может испугаться такого предупреждения и отказаться от посещения сайта.

При этом у Промсвязьбанка и у ВТБ при попытке подключиться по протоколу http включена автоматическая переадресация на https версию сайта. Т.е. при недействительном сертификате посетить сайт "невозможно".

У ЦБ РФ нет переадресации с http версии на https версию сайта. Поэтому сайт ЦБ РФ открывается по протоколу http, но недоступен по протоколу https.

ВТБ оперативно устранил проблему, выпустив и установив новый сертификат в другом удостоверяющем центре.

Разработчики Google Chrome объявили о планах развернуть поддержку DNS-over-HTTPS (DoH) в браузере Chrome для Linux. DoH уже поддерживается на Windows, Mac, ChromeOS и Android.