TL / DR :在为语义网定义新词汇表时,为什么我们不应该更喜欢https:个IRI?
semantic web围绕使用IRI来识别各种组件,无论是网页资源还是所有权等抽象概念。我咨询的每个来源都建议特别使用http: IRI,例如:
这让我感到很惊讶。世界似乎正在从HTTP转向HTTPS,但我知道没有使用https: IRI的词汇,而且上面引用的文档都没有讨论过这个问题。我可以找到关于ftp:或urn:为什么不是很好的选择的讨论,但没有关于https:的讨论。
尽管语义网上的IRI主要是标识符而不是 locators ,但是有一个惯例是IRI是查找有关实体的更多信息的好地方。当局建议303重定向到RDF或OWL模式等文档或其他具有更多信息的描述性文档。如果IRI是http:,则至少可以通过HTTP进行初始请求和重定向。即使架构内容毫无意义保密,它仍然存在以下问题:
很容易受到中间人攻击。恶意方可能会故意注入可能影响应用程序处理决策的不一致架构信息,从而可能导致DoS或以其他方式破坏用户体验。
互联网服务提供商可以自己做一个MITM inject adverts into content。实际上他们不应该为非HTML内容做这件事(好吧,他们根本不应该这样做,但这是另一回事),但这依赖于ISP足够的关心来做到这一点。这仍然可以通过HTTPS as Superfish demonstrated进行,但这要困难得多。
ISP可能会跟踪该请求。用户使用咨询特定架构的应用程序这一事实本身就是有价值的客户信息,可以出售给US Senate recently voted to make legal的广告客户。人们越来越注重隐私,并希望尽量减少这种情况。当然,ISP仍然知道您访问过哪个域the SNI field is not encrypted,但我们仍然可以尽量减少数据泄漏。
如果客户端支持它,HSTS可用于确保后续访问直接通过HTTPS进行,但这对仍然通过HTTP进行的初始请求没有任何作用。到目前为止,尝试放置similar functionality in DNS已经一事无成,我怀疑部分是由于DNSSEC的采用缓慢。我不知道任何可能减轻上述问题的其他技术措施。
这些考虑因素都告诉我,https:在定义新词汇时比http:更好。显然,如果你有一个已经使用http:的现有词汇,情况会有所不同,但这不是我对此感兴趣的情况。
但是我确信我不是第一个想到这一点的人,所以我只能认为每个人仍然使用并推荐http:是有原因的。如果是这样,https:有哪些缺点?任何人都可以指导我对此进行一次很好的讨论吗?到目前为止,我可以看到W3C对这个主题一无所知,让我感到惊讶。