web-dev-qa-db-fra.com

Quels sont les problèmes de sécurité possibles liés à l'activation de HTTP2?

Je souhaite activer HTTP2 pour plusieurs serveurs Web, mais je m'inquiète des éventuelles implications en termes de sécurité. Je pense à quelque chose comme:

  • Les implémentations HTTP2 sont peut-être plus sujettes aux erreurs que les implémentations HTTP1 matures, par exemple, un jour zéro est plus probable
  • Le WAF peut ne pas fonctionner avec HTTP2 car il ne prend pas en charge le protocole

Ces problèmes sont-ils vraiment pertinents et quels pourraient être les problèmes supplémentaires?

28
40F4

HTTP/2 est un protocole beaucoup plus complexe et nouveau que HTTP/1.x et donc les bogues sont au moins plus susceptibles au départ. En fait ne simple recherche montre plusieurs problèmes d'implémentation et aussi vecteurs d'attaque nouveaux ou mis à jour en raison de la conception modifiée de HTTP/2.

Le WAF peut ne pas fonctionner avec HTTP2 car il ne prend pas en charge le protocole

C'est probablement moins un problème. Un WAF est généralement soit intégré à la pile HTTP du serveur, soit un composant actif avec sa propre pile HTTP. En raison de la façon dont HTTP/2 est conçu, une rétrogradation implicite vers HTTP/1.x se produira si le serveur ou WAF ne prend pas en charge HTTP/2. Cela est également vrai pour les proxys et autres composants actifs.

Ce sera un problème pour une inspection purement passive comme cela est fait dans certains systèmes de détection d'intrusion ou pare-feu. Mais une inspection purement passive a quand même des problèmes avec l'inspection du trafic TLS et HTTP/2 n'est utilisé qu'avec TLS. Si, à la place, l'inspection passive est augmentée par une interception SSL, alors généralement une rétrogradation vers HTTP/1.x se produit à nouveau, sauf si l'interception SSL transfère explicitement ou inconsciemment l'extension ALPN TLS au serveur HTTP/2 lors de l'interception SSL.

19
Steffen Ullrich

Cela dépend de votre point de vue.

Si vous le regardez du point de vue d'un responsable de site Web et d'un gardien, vos deux préoccupations sont valides: HTTP/2 a été moins utilisé que HTTP/1.1, et donc les logiciels qui parlent le protocole ont eu moins de temps pour mûrir. Au point, je m'attendrais à ce que la combinaison de HTTP/2 et WAF soit une route cahoteuse pour le moment. Il sera également plus difficile d'obtenir des informations et d'externaliser le renforcement de la sécurité pour HTTP/2 qu'avec HTTP/1.1. Cela ne devrait pas être impossible, à en juger par la quantité de gros sites (comme celui-ci) exécutant HTTP/2.

D'un autre côté, si vous êtes un créateur de plate-forme Web, connaissez intimement HTTP/2 et que vous êtes le responsable de la mise en œuvre de HTTP/2 Edge, alors HTTP/2 est légèrement plus activation que HTTP/1.1 en matière de sécurité. Pour commencer, beaucoup de logiciels malveillants et de bots ennuyeux fonctionnent toujours sur HTTP/1.1, et c'est un signal fort pour la pile de sécurité. De plus, le multiplexage facilite le suivi et l'attribution du comportement utilisateur-agent. Le cadre binaire de HTTP/2 élimine les problèmes de sécurité causés par les implémentations incompatibles du codage en morceaux HTTP/1.1 et du pipelining.

15
dsign