Quels sont les prestations de sécurité ou les risques de http / 2?
Puisque http/2 commence à être adopté par de plus en plus de sites tous les jours. Existe-t-il des avantages de sécurité ou des risques connus concernant HTTP/2?
RFC 7540 Section 1 est une section de considération de sécurité qui documente un certain nombre de considérations de sécurité lors de la mise en œuvre et/ou de l'utilisation HTTP/2. Brièvement:
- 10.1. Autorité de serveur
- 10.2. Attaques de cross-protocole
- 10.3. Attaques d'encapsulation intermédiaire
- 10.4. Cachedicabilité des réponses poussées
- 10.5. Considérations relatives à la déni de service
- 10.5.1. Limites sur la taille du bloc d'en-tête
- 10.5.2. Connecter des problèmes
- 10.6. Utilisation de la compression
- 10.7. Utilisation du rembourrage
- 10.8. Considérations relatives à la vie privée
La plupart des considérations de sécurité régulières pour HTTP/1 sont également toujours valides, car http/2 a le même niveau d'application sémantique que http/1.
D'un point de vue cryptographique, http/2 nécessite de prendre en charge au moins TLS1.2, ce qui signifie que le canal de communication sera crypté à l'aide d'Aead Ciphers I.e. Crypto à la pointe de la technologie.