Etiqueta: HTTP/2

El HTTP/2 ofrece mayor rendimiento, pero baja confianza en seguridad

El nuevo protocolo poco a poco se empieza a implementar, ofrece un mejor rendimiento y es compatible con el protocolo anterior, HTTP/1.1. No se han encontrado problemas de seguridad en el propio protocolo, pero hay vulnerabilidades en algunas implementaciones y la posibilidad de una menor visibilidad en el tr√°fico de Internet, por lo que vale la pena esperar un poco para actualizarse.

Se debe tener en cuenta que el protocolo HTTP/1.1 tiene alrededor de 16 a√Īos y es el est√°ndar de mensajer√≠a subyacente para solicitar p√°ginas web y recursos asociados. Cuando los navegadores utilizan varias conexiones para enviar solicitudes paralelas, provoca congesti√≥n. Los sitios web utilizan una serie de trucos y soluciones para tratar de ofrecer contenido m√°s r√°pido.

HTTP/2 promete solucionar el problema con la multiplicaci√≥n, que beneficia especialmente a los sitios web con muchos objetos peque√Īos. Para el usuario fina no resultar√° distinto, pero el sitio web podr√≠a cargarse un poco m√°s r√°pido.

No contiene  cifrado

El cifrado obligatorio no está integrado en el propio protocolo. Sin embargo, todas las implementaciones de navegador actuales requieren encriptación TLS, agregando una capa de seguridad para la web.

Esto significa que las empresas podrían no ser capaces de analizar de forma efectiva el tráfico HTTP/2, tanto las conexiones entrantes que podrían entregar malware como las conexiones salientes que filtran datos críticos.

Algunos proveedores ofrecen soluciones que funcionan con cifrado HTTPS y SSL. Pero los cambios que vienen con HTTP/2 est√°n en un nivel m√°s b√°sico. Resolver este problema no va a ser f√°cil. Los proveedores tendr√°n que actualizar sus productos para manejar HTTP/2.

Es recomendable que la empresa ejecute las pruebas primero para ver si son capaces de inspeccionar el tr√°fico HTTP/2 con sus sistemas actuales y, en caso contrario, es posible que sea mejor esperar.

Nuevas vulnerabilidades

HTTP/2 plantea otros riesgos para las empresas, además de la cuestión de la visibilidad en el tráfico de Internet. Ya se han descubierto varias vulnerabilidades, todas relacionadas con ataques distribuidos de denegación de servicio. Incluyen la lectura lenta, la bomba HPACK, el ataque de ciclo de dependencia y la vulnerabilidad de abuso de multiplexación de flujo.

El protocolo en sí, no tiene problemas, el problema está en las implementaciones. En una prueba realizada recientemente se comprobó que, en los principales servidores web, incluyendo Apache, IIS, Jetty, Nghttpd y Nginx, eran vulnerables a al menos un ataque. Esto significa que los atacantes no necesitan un ejército de máquinas infectadas para actuar como relés o relés de aumento.

A pesar de que se han corregido sus vulnerabilidades, esto no quiere decir que todos los servidores Web hayan instalado los parches.

Las empresas que necesitan actualizarse a HTTP/2 y ejecutar sus propios servidores web y no pueden mantener los parches actualizados, conviene usar un firewall de aplicaciones web que proteja contra las nuevas vulnerabilidades a medida que se descubren.

Maria Korolovo