Security 在语义web上首选HTTPS虹膜

TL/DR：在为语义web定义新词汇表时，我们为什么不选择

https:

IRIs

该系统是围绕使用IRIs来识别各种组件而构建的，这些组件可以是网页之类的资源，也可以是所有权之类的抽象概念。我咨询过的每个来源都特别推荐使用

http:

IRIs，例如：

• （2011年）
• （2010年）
• （2008年），以及
• （2008年）

这让我有点吃惊。世界似乎正在从HTTP转向HTTPS，但据我所知，还没有使用

HTTPS:

IRIs的词汇表，上面引用的文档甚至都没有讨论过这个问题。我可以找到关于为什么

ftp:

或

urn:

不是很好的选择的讨论，但没有关于

https:

的内容

尽管语义web上的IRI主要是标识符而不是定位器，但有一个惯例，即IRI是查找有关实体的更多信息的好地方，各种权威机构建议303重定向到RDF或OWL模式等文档或其他具有更多信息的描述性文档。如果IRI是

http:

one，则至少可以通过http发出初始请求和重定向。即使架构内容在任何意义上都不是机密的，它仍然存在以下问题：

• 它容易受到中间人的攻击。恶意方可能故意注入不一致的模式信息，这可能会影响应用程序做出的处理决定，可能导致拒绝服务或以其他方式中断用户体验

• ISP可以自己进行MITM。实际上，他们不应该为非HTML内容这样做（好吧，他们根本不应该这样做，但那是另一回事），但这取决于ISP是否足够关心，以确保这一点。这仍然可以通过HTTPS实现，但要困难得多

• ISP可能会跟踪该请求。用户使用咨询特定模式的应用程序这一事实本身就是关于客户的有价值的信息，这些信息可以出售给广告主。人们越来越关注隐私，并希望将其最小化。当然，ISP仍然知道您访问过哪个域，但我们仍然可以设法最大限度地减少数据泄漏

如果客户端支持，则可以使用它来确保后续访问直接通过HTTPS进行，但这对仍然通过HTTP进行的初始请求没有任何影响。到目前为止，我想部分原因是DNSSEC的采用速度缓慢，所以尝试将其付诸实施的努力没有取得任何成果。我不知道有任何其他技术措施可以缓解上述问题

这些考虑因素都向我表明，在定义新词汇表时，

https:

比

http:

更好。显然，如果您现有的词汇表已经使用了

http:

，情况就不同了，但我在这里不感兴趣

---

然而，我肯定我不是第一个想到这一点的人，所以我只能认为每个人仍然使用和推荐

http:

，这是有原因的。如果是，https:的缺点是什么？有谁能指导我好好讨论一下这个问题吗？就我所知，W3C在这个问题上没有任何让我感到惊讶的东西。

我的两分钱：见，还有语义Web层蛋糕图像：）。我已经阅读了，它似乎专注于W3C现有的词汇表。我理解，您无法轻松地将现有的IRIs更改为

https:

，因为大多数语义web技术对IRIs进行字节比较，并且不会识别

https:

版本。我对定义一个新词汇表时该做什么感兴趣（并且编辑了我的问题，使之稍微清晰一些）。（您的第二个URL）得出结论，我们应该使用

https:

IRIs。在解释为什么这不是当前的做法时，他链接到一个论点，即

https:

IRIs（与在传输层中使用TLS相反）是一个错误。然而，Berner Lee的基本原理主要基于与新IRIs无关的向后兼容性。这让我想知道哈尔平和我是否还忽视了另一个因素。只是简单的评论一下，我不认为上面@StanislavKralin的链接会进一步增加什么。