Voglio abilitare HTTP2 per diversi server Web, ma sono preoccupato per le possibili implicazioni sulla sicurezza. Penso a qualcosa del tipo:
Questi problemi sono davvero rilevanti e quali potrebbero essere ulteriori problemi?
HTTP / 2 è un modo più complesso e nuovo protocollo di HTTP / 1.x e quindi i bug sono almeno inizialmente più probabili. Infatti una ricerca semplice mostra diversi problemi di implementazione e anche alcuni nuovi o aggiornati vettori di attacco a causa del design modificato di HTTP / 2.
The WAF might not work with HTTP2 because it doesn't support the protocol
Questo è probabilmente meno di un problema. Un WAF di solito è integrato nello stack HTTP del server o è un componente attivo con il proprio stack HTTP. A causa del modo in cui viene progettato HTTP / 2, si verifica un downgrade implicito su HTTP / 1.x se il server o WAF non supportano HTTP / 2. Questo vale anche per i proxy e altri componenti attivi.
Sarà un problema per l'ispezione puramente passiva come avviene in alcuni sistemi di rilevamento delle intrusioni o firewall. Ma un'ispezione puramente passiva ha problemi con l'ispezione del traffico TLS e HTTP / 2 viene utilizzato solo insieme a TLS. Se invece l'ispezione passiva è aumentata con l'intercettazione SSL, di solito si verifica nuovamente un downgrade a HTTP / 1.x a meno che l'intercettazione SSL non inoltra esplicitamente o inconsapevolmente l'estensione TLS ALPN al server HTTP / 2 durante l'intercettazione SSL.
Dipende dalla tua prospettiva.
Se lo stai osservando dal punto di vista di un gestore del sito web e di un custode, le tue due preoccupazioni sono valide: HTTP / 2 è rimasto fuori meno di HTTP / 1.1, e quindi il software che parla il protocollo ha avuto meno tempo per maturo. Al punto, mi aspetterei che la combinazione di HTTP / 2 e WAF fosse una strada accidentata al momento. Anche ottenere informazioni e esternalizzare la protezione di sicurezza per HTTP / 2 sarà più difficile che con HTTP / 1.1. Tuttavia, non dovrebbe essere impossibile, a giudicare dalla quantità di siti grandi (come questo) che eseguono HTTP / 2.
D'altra parte, se sei un creatore di piattaforme web, hai familiarità con HTTP / 2 e capita di essere il manutentore del tuo HTTP / 2 edge implementazione, quindi HTTP / 2 è leggermente più abilitante di HTTP / 1.1 quando si tratta di sicurezza. Per cominciare, un sacco di malware e bot fastidiosi sono ancora in esecuzione su HTTP / 1.1, e questo è un segnale strong per lo stack di sicurezza. Inoltre, il multiplexing semplifica il tracciamento e l'attribuzione del comportamento degli user-agent. Il framing binario di HTTP / 2 elimina i problemi di sicurezza causati da implementazioni incompatibili della codifica Chunked HTTP / 1.1 e del pipelining.