1. od zera do bohatera
Marek Stawiasz
Paweł Apanasewicz

2. O czym będziemy mówić
HTTP
HTTPS, WebDAV, SPDY
DNT, HSTS, HTLS
AJAX, Same Origin Policy, CORS

3. OK, więc co to takiego ten HTTP?
1. Hypertext Transfer Protocol
2. protokół warstwy aplikacji według modelu OSI
3. bazuje na TCP
4. nasłuchuje na porcie 80 (wersja szyfrowana na porcie 443)
5. jest protokołem tekstowym
6. jest protokołem bezstanowym

4. Dawno, dawno temu...
Pierwszy dokument o HTTP
ukazał się w 1991 roku
Czyli 21 lat temu!
To prehistoria jeśli chodzi
Internet
A życie wtedy było dużo prostsze

5. REWOLUCJA ROZPOCZĘŁA SIĘ
HTTP w pierwszej swojej
wersji 0.9 posiadał tylko
jedną metodę – GET*
* daj mi ten dokument

6. A w praktyce
Jak mówi klient (przeglądarka)?
GET /index.html HTTP/1.1
Host: www.example.com
User­Agent: Mozilla/5 (X11;Ubuntu;Linux) Firefox 16
Cookie: ala=makota
Accept: text/html
Accept­Language: en­US

7. A w praktyce
Jak mówi serwer?
HTTP/1.1 200 OK
Date: Mon, 23 May 2005 22:38:34 GMT
Server: Apache/1.3.3.7 (Unix) (Red­Hat/Linux)
Etag: "3f80f­1b6­3e1cb03b"
Content­Length: 438
Connection: close
Content­Type: text/html; charset=UTF­8
Czterysta trzydzieści osiem bajtów odpowiedzi...

8. A w praktyce
Najczęściej spotykane kody odpowiedzi serwera
200 OK
201 Created
202 Accepted
204 No Content
404 Not Found
206 Partial Content
301 Moved Permanently
304 Not Modified
400 Bad Request
403 Forbidden
405 Method Not Allowed
500 Interal Server Error

9. A w praktyce
Co jeszcze może HTTP:
­ pobierać dokument ­ GET
­ przesyłać dane ­ POST
­ zapytać o nagłówki ­ HEAD
­ przesyłać pliki na serwer ­ PUT
­ kasować pliki na serwerze ­ DELETE
­ spytać serwer o możliwości ­ OPTIONS
i inne: TRACE, CONNECT

10. A w praktyce
Siła drzemie... w nagłówkach
w standardzie HTTP 1.1 otrzymujemy:
31 nagłówków zapytania
34 nagłówków odpowiedzi
dodatkowo poza standardem:
7 powszechnie stosowanych nagłówków zapytania
5 powszechnie stosowanych nagłówków odpowiedzi

11. A w praktyce
Siła drzemie... w nagłówkach
Serwer Klient
Server Host
Date User-Agent
Expires Accept-Language
Vary Accept-Encoding
Content-Language Accept
Content-Encoding Referer
Content-Type Set-Cookie
Location X-Forwarded-For
Cookie
Cache-Control

12. A w praktyce
Siła drzemie... w nagłówkach
X­Powered­By: Unicorns
X­Powered­By: Rats in your basement
X­Powered­By: Elves
X­Recruitng: Like HTTP headers? Come write ours:
booking.com/jobs
X­Recruiting: If you’re reading this, maybe you should
be working at Zappos instead. Check out jobs.zappos.com

13. BEZPIECZEŃSTWO
­ autoryzacja BASIC i DIGEST
­ protokół SSL
­ DNT (Do Not Track)
­ HSPS
­ Same Origin Policy + CORS

14. BEZPIECZEŃSTWO
Autoryzacja BASIC
Serwer:
WWW­Authenticate: Basic realm="you shall not pass!"
Klient:
Authorization: Basic QWxhZGluOnNlc2FtIG9wZW4=

15. BEZPIECZEŃSTWO
Autoryzacja DIGEST
SERWER:
WWW­Authenticate: Digest realm="testrealm@host.com",
qop="auth,auth­int",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
KLIENT:
Authorization: Digest username="Mufasa",
realm="testrealm@host.com",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
uri="/dir/index.html", qop=auth, nc=00000001,
cnonce="0a4f113b",
response="6629fae49393a05397450978507c4ef1",
opaque="5ccc069c403ebaf9f0171e9517f40e41"

16. BEZPIECZEŃSTWO
Protokół SSL

17. BEZPIECZEŃSTWO
HSTS – HTTP Strict Transport Security
Strict­Transport­Security: max­age=31536000;
includeSubDomains
ALE:
­ nagłówek ten musi zostać przesłany poprzez HTTPS
z zaufanym certyfikatem inaczej MUSI zostać
zignorowany!
­ działa wszędzie już od dawna Firefox, Chrome,
Opera... tylko nie w Internet Explorerze!

18. BEZPIECZEŃSTWO
DNT: Do Not Track
DNT: 1
Obsługiwany przez WSZYSTKIE przeglądarki!
Użytkownik ŚWIADOMIE musi zaznaczyć iż nie chce być
śledzony.
Internet Explorer 10 łamie tą zasadę, wysyła DNT
domyślnie!

19. BEZPIECZEŃSTWO
CORS: Cross Origin Resource Sharing
Pomaga w problemach z regułą Same Origin Policy
w wywołaniach XHR:
Klient:
Origin: http://www.serwer.com
Serwer:
Access­Control­Allow­Origin: http://serwer.com/

20. BEZPIECZEŃSTWO
CORS: Cross Origin Resource Sharing
Domyślnie nie są przesyłane informacje
uwierzytelniające (ciasteczka, autoryzacja,
certyfikaty SSL)
Access­Control­Allow­Credentials: true
W Internet Explorer z CORS korzystamy poprzez obiekt
XDomainRequest. IE nie daje JAKIEJKOLWIEK możliwości
przesyłania informacji uwierzytelniających.

21. WYDAJNOŚĆ
­ Keep­Alive
­ Wiele połączeń równolegle
­ Cache
­ Pobieranie fragmentów plików
­ HTLS
­ SPDY

22. WYDAJNOŚĆ
Keep-Alive, wiele połączeń równolegle
Connection: close
Connection: keep­alive
Wiele połączeń TCP jednocześnie!
Trik: Ajax ­ Long­Pooling!

23. WYDAJNOŚĆ
Cache
Cache­control: public, private, no­cache, no­store,
max­age, must­revalidate, proxy­revalidate
ETag: "686897696a7c876b7e"
If­None­Match: "686897696a7c876b7e"
304 Not Modified
Nagłówek ETag może zostać wykorzystany do śledzenia
użytkownika!

24. WYDAJNOŚĆ
Pobieranie fragmentów plików
Serwer:
Accept­Ranges: bytes
Klient:
Range: początek­koniec
Serwer:
Content­Range: początek­koniec/ogółem
206 Partial Content
416 Request Range Not Satisfiable

25. WYDAJNOŚĆ
HTLS – HTTP Live Streaming
Technologia opracowana przez Apple
i zaimplementowana w QuickTime oraz iPhone.
Plik do przesłania dzielony jest na wiele małych
części.
Części te przesyłane są na samym początku transmisji
pliku m3u8.

26. WYDAJNOŚĆ
SPDY

27. WYDAJNOŚĆ
SPDY
­ maksymalne wykorzystania połączenia TCP
­ połączenie szyfrowane
­ całość połączenia jest kompresowana
­ jednym połączeniem przesyłanych jest wiele zasobów
jednocześnie
­ priorytety
­ server push
­ server hint

28. WYDAJNOŚĆ
SPDY
Zmniejszenie ruchu wychodzącego o 40%
Wzrost wydajności od 30% do 55%
Użycie mniejszej ilości połączeń TCP
Internet Explorer... jak zwykle...
Opera, Chrome, Firefox... też mobilne!

29. POZA PRZEGLĄDARKĄ
WebDAV – Web Distributed Authoring & Versioning
Nowe komendy:
­ PROPFIND
­ PROPPATCH
­ MKCOL
­ COPY
­ MOVE
­ LOCK
­ UNLOCK

30. POZA PRZEGLĄDARKĄ
WebDAV – Web Distributed Authoring & Versioning
Daje możliwości praktycznie pełnego systemu plików
poprzez protokół HTTP!
W Microsoft Windows już od wersji 98 jako Web Folders
W systemach Linux czy Mac OSX możliwe jest
podmontowanie zasobów WebDAV.
Wykorzystywany przez SVN.

31. POZA PRZEGLĄDARKĄ
Web Services
Usługi świadczone poprzez sieć, zazwyczaj
korzystając z protokołu HTTP.
Często zdefiniowane za pomocą języka opisu
usługi (WSDL)
Najpopularniejsze metody wykorzystania:
­ SOAP ­ simple object access protocol
­ XML­RPC ­ XML Remote Procedure Call

32. PRZYKŁADY
LINUX
# wget http://www.horde­technology.pl
# curl http://www.horde­technology.pl

33. PRZYKŁADY
PHP
$request = "GET {$path} HTTP/1.1rnHost:
{$host}rnrn";
$f = fsockopen($host, 80, $errno, $errstr, 30);
fwrite($f, $requestData);
while (!feof($f)) {
echo fgets($f, 128);
}
fclose($f);

34. PRZYKŁADY
BASH
#!/bin/bash
exec 5<>/dev/tcp/www.horde­technology.pl/80
cat <&5 &
printf "GET / HTTP/1.0rnrn" >&5

35. PRZYKŁADY
SPDY w NODE.js
npm install spdy
var spdy = require('spdy'),
Options = {};
var server = spdy.createServer(options, app);
server.listen(443);

36. http://www.horde-technology.pl
dziękujemy