Názory k článku Jak funguje nový protokol HTTP/2

Diky za clanek, presne takovyhle typ clanku na rootu tak rad ctu. Doufam, ze Pavel napise dalsi drive nez za dalsich 14 let :)))

Jediné, co mě v článku zaráží, že přestože by http/2 mělo mít binární hlavičky, ukázky hlaviček jsou textové a ukázka těch binárních chybí úplně.

Každopádně, nějaká ukázka té binární hlavičky by v článku bodla, když už k ní je uveden příklad jejího zdrojového kódu ... Jenom, proč by se měly v binární hlavičce vyskytovat vůbec nějaké texty? Když už tu jsou kódovací tabulky, mohou být na kódy převedeny i ty.

Když je HTTP/2 tak dokonalý, na co potřebuje X-hlavičky? Nebylo by lepší ho navrhnout tak, aby ty nestandardní hlavičky nemusel používat?

host name - při šifrované komunikaci stejně bude muset probíhat jakási předkomunikace, během ní by šel pro hostname domluvit číselný identifikátor, takže hostname v textové podobě být nemusí,
datum a čas - jsou čísla, tedy nemusí být přenášeny v textové podobě, v binární podobě se navíc zjednoduší interpretace, neboť nebude nutné převádět čas z textu na číslo,
mime-typy - proč pro ně také neexistuje tabulka, jako pro hlavičky?
cookie - mohou být číselná, nas hodnoty mohou být převáděny pomocí tabulky,

k čemu tedy texty v binárních hlavičkách?

Přiznám se, že jsem od minulého článku pořád úplně nepochopil ten server push. Ano, je hezké, že klient může serveru říct, které soubory mu nemá posílat, ale přiznám se, že mi pořád není úplně jasná strategie, pořád nějak nedokážu přijít na to, jak může klient už při prvním požadavku na načtení stránky sdělit serveru, které soubory mu nemá posílat.

krok 1) klient požádá o soubor (v tuto chvíli klient neví, které další soubory bude stránka potřebovat),
krok 2) server pošle soubor a k němu mu přibalí dáreček v podobě dalších souborů,
krok 3) klient parsuje soubor a teprve teď může zjistit, které soubory bude potřebovat a zjistit, jestli už jejich verzi nemá ve vyrovnávací paměti,
krok 4) klient zjistí, že některé soubory už ve vyrovnávací paměti a tedy že je není nutné posílat, tak začne odesílat požadavek na zrušení přenosu těchto přibalených souborů.

A teď moje nejasnosti:
- existuje nějaký způsob, jak může klient už při prvním požadavku zjistit, které soubory související s dotazovaným souborem nebude potřebovat? Pokud ano, jaký?
- začne server odesílat dárečkové soubory navíc okamžitě po ukončení přenosu požadovaného souboru? (tj. v okamžiku, kdy klient teprve provádí parsování přijatého souboru)
- co se stane v okamžiku, kdy server nebude respektovat požadavek na ukončení dárečkového souboru?

A co brání serveru, aby k těm přidaným souborům přibalil dáreček úplně navíc? Klient něco takového v cache nemá a že tento dárečen není potřeba, zjistí až po rozparsování stránky.

Jenom si dovolím poznamenat, že v době generování dynamické stránky bude server obtížně posílat odpovědi v době čekání na databázi, protože kód stránky pro něj v daném okamžiku nemusí být přístupný a těžko tedy bude zkoumat její obsah - jedině, že by nastoupila predikce.

He? A proč by to server vůbec dělal? K čemu by něco takového bylo i nějaké hodně pochybné stránce? Dárečkem, co se přenese za rozumný čas, se ani to místo na disku zabrat pořádně nedá.

Proč by server neměl vědět, co má poslat? Vždyť tu stránku generuje např. nějaký php script. Takže na začátku scriptu se naplánuje přenos souborů, které ta stránka potřebuje, pak se může čekat na DB a mezitím se v jiném vlákně přenášejí ty csska a obrázky.

Já třeba v PHP na začátku žádné soubory neplánuju, ve většině případů mi odkazy na soubory generuje právě PHP, takže až do okamžiku vygenerování kódu server nemá šanci zjistit, které soubory má poslat. A to nemluvím o skriptem generovaných obrázcích.

Boze ... jak v matersky. Dokud ta stranka neni na strane serveru kompletni, tak srv nemuze mit ani paru o tom, co vse je jeji soucasti. Tak maximalne muze nekde nekdo prohlasit, ze soucasti je nejaky css, ale jaky tam sou obrazky vubec netusi. A pokud se stylopis generuje taky, tak netusi ani ten.

Takze vysledkem bude zhruba to, ze misto aby srv poslal browseru html stranku, tak ji bude jeste sam parsovat aby zjistil, co k ni ma jeste pribalit ... lol.

O záškodnických či útočicích serverech jste asi neslyšel, že?

To jako, že ten seznam vnucovaných souborů se sestavuje ručně? Nebo kvůli tomu musím upravovat skripty, aby to fungovalo?

Celé HTTP2 mi trochu připadá jako přesouvání problému z jednoho místa na jiné.
Začínáme s: TCP - flow control, congestion control, multiple streams. Máme podporu v OS pro všechny tyto věci, takže cílová aplikace (web server) se tím vůbec nemusí zabývat - může být napsána nějakým způsobem multi-threadovaně a vešekeré tyhle věci pak zařizuje OS.

Bohužel to má některé nevýhody - při použití TLS trochu vyšší latence při otevření spojení (+hlavičky, které se nevejdou do jednoho TCP paketu, takže ta latence je pak ještě o trochu vyšší zvláště na mobilních sítích). Takže to řešíme tím, že celý multiplexing přesuneme do user-space a implementujeme ho znova včetně flow-control. Web server v podstatě znova implementuje celou multiplexing logiku z OS včetně flow-control, celé se to příšerně zesložití... připadá mi to takové trochu zbytečné...

Tenhle přesun věcí z kernelu do userspace se děje i jinde. Třeba vlákna. Kernelové jsou obecnější, ale když se rozumně omezená funkcionalita implementuje i v userlandu, tak je najednou přepnutí vlákna nesrovnatelně levnější záležitost. Nebo třeba databáze si ve vlastní režii dělají spoustu záležitostí kolem diskové cache, protože takhle to jde vytunit přesně pro jejich způsob využití.

To, že něco podobného dělá systém je pěkné. Ale pro přenos více souborů není třeba navazovat více tcp spojení, vyjednávat pro každé šifrovací klíč atd. HTTP dělá něco jako systém, ale v daleko omezenější míře, díky čemu to taky dokáže dělat zatraceně efektivněji.

Myslím, že thready nejsou dobrý příklad, protože user-space thready jsou obecně pro aplikaci nerozlišitelné od native threadů.
Ano, databáze si řeší někdy diskové cache samy - ale nějak si nejsem jistý, jestli je tohle krok správným směrem. Připadá mi, že problém není obecně navázání TCP spojení, problém je spíše to TLS, kterému trvá asi o 2 pakety déle, než se to s existujícími session keys dohodne. Tady mě právě trochu překvapuje snaha překopat protokol ve světě, kde se rychlost linek obecně zvyšuje, takže bude hrát menší a menší roli. Připadá mi to, jako kdyby databáze komplet implementovala cachování disku v situaci, kdy by zrychlení bylo na úrovni 5%.

To zrychlení sice závisí na aplikaci, ale 5% je hodně pesimistický odhad. Co takhle 6x tolik uživatelů na server? http://www.neotys.com/blog/performance-of-spdy-enabled-web-servers/
Rychlost linek se sice zvyšuje, ale latence zůstává +- furt na jedno brdo. A to je ta hlavní brzda ve starém HTTP.

Vypadá to tak, ale problém je spíš s terminologií, která je podobná, ale znamená jiné kroky. Flow control v TCP/IP je velmi složité, musí řešit velikosti paketů, více cest, nezaručené pořadí ap. Flow control v HTTP/2 už má všechny výhody flow control z TCP/IP (aplikace je pořád může používat), takže je velmi primitivní (má jen okno; smyslem je třeba i to, aby server nepřecpal spojení daty streamu, který se klient snaží uzavřít). Multiplexing v TCP/IP slouží pro komunikaci s více počítači, což musí složitě řešit a řídit, opět s tím, že není zaručené téměř nic, tohle ale HTTP/2 opět už využívá a tak na jeho úrovni je to zase velmi primitivní (jen ID streamu). Ten rozdíl v rychlosti vytváření streamů v HTTP/2 a v TCP/IP je právě v tom, že TCP/IP musí znovu řešit spoustu věcí, které jsou ale pro spojení se stejným klientem (tedy při znovupoužití existujícího TCP spojení) už vyřešené.

může být napsána nějakým způsobem multi-threadovaně a vešekeré tyhle věci pak zařizuje OS

Takhle jednoduše to ale moc nefunguje, webový server má nějaké zdroje, které různé požadavky nějak sdílí, a k tomu potřebuje řídit přístup, aby předcházel starvation nebo třeba backlog overflow při přílišné serializaci (oboje lze použít i pro DoS útok). Ale pokud vám to tak jednoduché stačilo, tak v HTTP/2 to můžete mít úplně stejně, nijak nenutí server vyřizovat požadavky out-of-order, jen to umožňuje.

Flow control v TCP protokolu je prakticky identické flow control v HTTP 2.0 (nic víc než okno tam není). Congestion control už samozřejmě funguje jinak... a ten smysl je spíš v tom, že pokud by na jedné straně "thread" požírající určitý stream fungoval pomalu, tak by to zablokovalo komplet celou komunikaci.

Web server pro HTTP 1.1 se dá v jazycích, které podporují "levné" thready napsat velmi elegantně. HTTP/2.0 znamená v podstatě reimplementovat celý poll() interface znovu nebo to nějak simulovat přes nějaké fronty, což asi nebude zrovna efektivní. Nebo si udělat HTTP2 -- HTTP/1.1 gateway.... a nebo to skutečně vyřizovat in-order, ale to by byl krok zpět, protože web klienti to dneska posílají paralelně ve více TCP spojeních.

Připadá mi, že web servery obecně žádné řízení prostředků nad rámec "maximum najednou vyřizovaných požadavků" nečiní, protože by musely vědět, jak dlouho se který požadavek bude vyřizovat... pletu se?

Připadá mi to celé trošku jako nástavba, která se docela snadno implementuje na klientu, docela nepříjemně špatně na serveru (obzvláště v in-process web serverech) a výsledný efekt se projeví na pár špatně připojených zařízeních přes pomalé mobilní připojení.

Flow control v TCP protokolu je prakticky identické flow control v HTTP 2.0 (nic víc než okno tam není). Congestion control už samozřejmě funguje jinak...

Nemyslel jsem přímo flow control TCP, myslel jsem obecně celý systém řízení toku, které dělá TCP/IP. Kromě congestion control v TCP je to třeba MTU discovery nebo přesměrování mobilního spojení.

Web server pro HTTP 1.1 se dá v jazycích, které podporují "levné" thready napsat velmi elegantně. HTTP/2.0 znamená v podstatě reimplementovat celý poll() interface znovu nebo to nějak simulovat přes nějaké fronty, což asi nebude zrovna efektivní. Nebo si udělat HTTP2 -- HTTP/1.1 gateway.... a nebo to skutečně vyřizovat in-order, ale to by byl krok zpět, protože web klienti to dneska posílají paralelně ve více TCP spojeních.

Není pro tyhle jazyky spíš vhodnější (Fast)CGI? Webový server napsaný v takovém jazyku pravděpodobně nebude na frontendu a interně používat HTTP (libovolnou verzi) není zrovna rychlé.

Mimochodem napsat HTTP/1.1 server tak, aby se opravdu choval podle RFC (včetně všech dost šílených případů), rozhodně není nic elegantního.

Připadá mi, že web servery obecně žádné řízení prostředků nad rámec "maximum najednou vyřizovaných požadavků" nečiní, protože by musely vědět, jak dlouho se který požadavek bude vyřizovat... pletu se?

Tohle se řeší spíš frontou, kde se požadavky od jednoho klienta prokládají požadavky od jiných klientů.

No, je to pro "velké" servery. A ty moderní (nginx, lighttpd, ...) mají jen tolik threadů, kolik je jader. Takže jim většinou postačí přejít do režimu kdy jedno http/2 spojení (tedy jeden multiplex k uživateli) bude obsluhovat nejvýše jeden thread. Ona dobře napsaná eventová smyčka je u "překydávání obsahu" z paměti(*)/backendu směrem ke klientovi rychlejší (a hlavně méně hw náročná), než multithreading.

*) V ideálním světě i z disku, ale na to je potřeba asynchronní I/O, které funguje stejně jako pipes/sockets (neblokuje). Jinak si musíme pomáhat I/O thready.

U "malých" serverů často http/2 nepotřebujete, nebo můžete zařadit http/2 gateway (ostatně podobně se používá třeba SSL gateway) - v obou případech se hodí mít tam něco jako hloupé http/1.0. (bez Connection: keep-alive, a podobných výmyslů).

Microsoft sel svoji cestou. IE posila http hlavicku requestu primo v SYN packetu a ve spolupraci s IIS dokaze dohadovani TCP spojeni obejit uplne.

"Verze 1.1 přišla s permanentním spojením. TCP spojení se po vyřízení dotazu nezavírá, ale klient po něm může položit další dotaz. Ovšem ne před dokončením odpovědi. Pokud se zadrhla, musí klient čekat na její dokončení, než může položit další dotaz."

Je tato formulace v článku správná? Myslel jsem, že pipelining v HTTP/1.1 umožňuje položit další dotaz před dokončením předchozí odpovědi.

Máte pravdu, že HTTP/1.1 pipelining umožňuje položit dotaz ještě před příchodem odpovědi, ale používá se jen vzácně - viz http://en.wikipedia.org/wiki/HTTP_pipelining#Implementation_status Typický klient se chová popsaným způsobem.

Chápu potřebu nového protokolu, ale proč se to všechno řeší v rámci HTTP nad TCP? Polovinu požadovaných vlastností umí 15 let starý protokol SCTP, navíc přináší mnoho dalších věcí, které se v TCP emulují za cenu rozbití mnoha užitečných vlastností (SYN cookies) nebo nefungují vůbec (multihoming).

Http pres spoustu firewallu projde prave proto, ze je to text. Kdyz nebude tak neprojde.

Stejně jako se naučily Windows HTTP/2, tak by se naučily SCTP. Co se týče firewallů, SCTP funguje i přes TCP nebo UDP pro fallback, případně by se pro fallback rovnou použilo HTTP/1.1 přes TCP.

Přes Upgrade: hlavičky, jako se to dělá teď v rámci přechodu na HTTP/2. Dalo by se to řešit stejně jako u IPv6, např. jen u sítí, o kterých server ví, že to funguje, by odpovídal HTTP 101, resp. by mohl v odpovědi uvést, že se má HTTP/2 + SCTP spustit nad otevřeným TCP spojením místo otevírání nového spojení. No a časem by se z SCTP stal výchozí stav.

Aha, jirsak jako vzdy exceluje, vis jirsak, ze se to vetsinou dela presne opacne? No jasne ze nevis, jak bys moh.

A to tusit ani nemuzes, ze v souladu s rfc browser nejdriv zkusi IPv6 a teprve kdyz to nefunguje, zkusi IPv4 ....

Dejme tomu, že máme webový server pracující pouze s HTTP/2 ať už v otevřené formě nebo https. Co to udělá, pokud na takovýto web přistoupím starším prohlížečem? Typicky mi jde třeba o MSIE na WinXP nebo i staršími verzemi Firefoxu, Chromu, Opery, .... ?
Zobrazí to aspoň nějakou chybovou hlášku?

Prohlížeč pošle dotaz, kterému server nebude rozumět a odpoví HTTP/2 400 Bad Request a zavře spojení. Té odpovědi nebude rozumět prohlížeč, takže buď zobrazí chybovou hlášku nebo se pokusí zobrazit tu odpověď (pokud ji pochopí jako odpověď v HTTP/0.9).

Altenativne vytuhne srv, protoze tvurce neco takoveho ani ve snu nenapadlo, pripadne klient, protoze dtto, a ve specifickem pripade toho IE mozna i cely widle.

Stane se úplně to samé, jako by na tom portu běželo úplně něco jiného než web server. Na port 80 se kvůli paranoidním nastavením dává spousta neHTTP věcí a nemám pocit, že by kvůli tomu prohlížeče a systémy houfně hynuly.

Tak se přidám k těm co uvádějí vaše komentáře na pravou míru.

Pokud vytuhne srv, je to pouze a jenom chyba srv, zneužitelná k dos útoku. Něco takového v produkčním srv být nesmí (bavíme se o jiných počátečních bajtech spojení, které rozlišují použitý protokol, http/1.x nezná požadavek PRI. http/2.0 only musí začínat PRI...).

HTTP Klient musí rozdejchat vadnou odpověď na HTTP protokolu, nebo to (nerozdejchání) autorovi/provo­zovateli klienta nevadí, protože ho používá v "laboratorních" podmínkách (způsobem, kdy server nikdy špatnou odpověď nevrací).

Díky za článek. Snad bych jenom upozornil, že na TUL už katedra informačních technologií nějaký ten pátek není a pan Satrapa působí na ústavu NTI.