HTTP/2 e implicazioni per la sicurezza

Di recente alcuni ricercatori di sicurezza avrebbero lanciato l’allarme sullo stato della sicurezza di HTTP/2, nuovo protocollo che è in via di adozione da parte di produttori, operatori di Rete e software house e che pone ne contempo nuove sfide per la salvaguardia dei client utilizzanti in navigazione come dei dati più o meno riservati di utenti e aziende.

Il giovane standard per le comunicazioni Web è stato oggetto di uno studio pubblicato in occasione della conferenza "Pacsec 2015", nel corso del quale sono stati presentati i risultati dell’analisi su tale tecnologia e le (apparentemente non poche) falle di sicurezza introdotte dalla sua nuova e per molti versi complessa configurazione.

Le tante novità presenti in HTTP/2 offrirebbero quindi nuove superfici di attacco a cyber-criminali sempre (più) attivi, un problema che avrebbe origine in primo luogo in HPACK, sostanzialmente il protocollo di compressione per l'header HTTP adottato in questo caso per ottimizzare le prestazioni durante le comunicazioni tra client e server.

Nel caso specifico i ricercatori avrebbero individuato ben 8 bachi di sicurezza potenzialmente molto pericolosi tra HPACK, frame malformati, invio di dati arbitrari al client (o al server). Tra i componenti risultati vulnerabili ai nuovi bug di HTTP/2 figurerebbero Apache Traffic Server, il browser Firefox e node-http2, un elenco che non promette bene per il futuro di una tecnologia che si vorrebbe veloce, sicura e al passo con le esigenze del Web odierno.

La questione rimane quindi aperta, così come l'esigenza sempre più pressante di coniugare velocità e soluzioni particolarmente innovative, perché basate su tecnologie spesso recenti e non completamente collaudate, con la sicurezza.

Via | Yahoo Security