Etiqueta: HTTP/2

El HTTP/2 ofrece mayor rendimiento, pero baja confianza en seguridad

El nuevo protocolo poco a poco se empieza a implementar, ofrece un mejor rendimiento y es compatible con el protocolo anterior, HTTP/1.1. No se han encontrado problemas de seguridad en el propio protocolo, pero hay vulnerabilidades en algunas implementaciones y la posibilidad de una menor visibilidad en el tráfico de Internet, por lo que vale la pena esperar un poco para actualizarse.

Se debe tener en cuenta que el protocolo HTTP/1.1 tiene alrededor de 16 años y es el estándar de mensajería subyacente para solicitar páginas web y recursos asociados. Cuando los navegadores utilizan varias conexiones para enviar solicitudes paralelas, provoca congestión. Los sitios web utilizan una serie de trucos y soluciones para tratar de ofrecer contenido más rápido.

HTTP/2 promete solucionar el problema con la multiplicación, que beneficia especialmente a los sitios web con muchos objetos pequeños. Para el usuario fina no resultará distinto, pero el sitio web podría cargarse un poco más rápido.

No contiene  cifrado

El cifrado obligatorio no está integrado en el propio protocolo. Sin embargo, todas las implementaciones de navegador actuales requieren encriptación TLS, agregando una capa de seguridad para la web.

Esto significa que las empresas podrían no ser capaces de analizar de forma efectiva el tráfico HTTP/2, tanto las conexiones entrantes que podrían entregar malware como las conexiones salientes que filtran datos críticos.

Algunos proveedores ofrecen soluciones que funcionan con cifrado HTTPS y SSL. Pero los cambios que vienen con HTTP/2 están en un nivel más básico. Resolver este problema no va a ser fácil. Los proveedores tendrán que actualizar sus productos para manejar HTTP/2.

Es recomendable que la empresa ejecute las pruebas primero para ver si son capaces de inspeccionar el tráfico HTTP/2 con sus sistemas actuales y, en caso contrario, es posible que sea mejor esperar.

Nuevas vulnerabilidades

HTTP/2 plantea otros riesgos para las empresas, además de la cuestión de la visibilidad en el tráfico de Internet. Ya se han descubierto varias vulnerabilidades, todas relacionadas con ataques distribuidos de denegación de servicio. Incluyen la lectura lenta, la bomba HPACK, el ataque de ciclo de dependencia y la vulnerabilidad de abuso de multiplexación de flujo.

El protocolo en sí, no tiene problemas, el problema está en las implementaciones. En una prueba realizada recientemente se comprobó que, en los principales servidores web, incluyendo Apache, IIS, Jetty, Nghttpd y Nginx, eran vulnerables a al menos un ataque. Esto significa que los atacantes no necesitan un ejército de máquinas infectadas para actuar como relés o relés de aumento.

A pesar de que se han corregido sus vulnerabilidades, esto no quiere decir que todos los servidores Web hayan instalado los parches.

Las empresas que necesitan actualizarse a HTTP/2 y ejecutar sus propios servidores web y no pueden mantener los parches actualizados, conviene usar un firewall de aplicaciones web que proteja contra las nuevas vulnerabilidades a medida que se descubren.

Maria Korolovo