web-dev-qa-db-ja.com

HTTP2を有効にする際に考えられるセキュリティの問題は何ですか?

複数のWebサーバーでHTTP2を有効にしたいのですが、考えられるセキュリティへの影響が心配です。私は次のようなことについて考えます:

  • HTTP2の実装は、成熟したHTTP1の実装よりもエラーが発生しやすいため、たとえばゼロデイの可能性が高くなります。
  • WAFはプロトコルをサポートしていないため、HTTP2では機能しない可能性があります

これらの問題は本当に関連性があり、追加の問題は何でしょうか?

28
40F4

HTTP/2は、HTTP/1.xよりも複雑で新しいプロトコルであるため、少なくとも最初はバグが発生する可能性が高くなります。実際 単純な検索 は、HTTP/2の設計の変更により、いくつかの実装の問題と 新規または更新された攻撃ベクトル を示します。

WAFはプロトコルをサポートしていないため、HTTP2では機能しない可能性があります

これはおそらく問題の少ないものです。 WAFは通常、サーバーのHTTPスタックに統合されているか、独自のHTTPスタックを持つアクティブなコンポーネントです。 HTTP/2の設計方法により、サーバーまたはWAFがHTTP/2をサポートしていない場合、HTTP/1.xへの暗黙的なダウングレードが発生します。これは、プロキシやその他のアクティブなコンポーネントにも当てはまります。

一部の侵入検知システムやファイアウォールで行われているような、純粋にパッシブな検査では問題になります。ただし、純粋にパッシブな検査ではTLSトラフィックの検査に問題があり、HTTP/2はTLSと一緒にしか使用されません。代わりに、SSLインターセプトによってパッシブインスペクションが強化された場合、SSLインターセプト中にSSLインターセプトが明示的または無意識にALPN TLS拡張をHTTP/2サーバーに転送しない限り、通常、HTTP/1.xへのダウングレードが再度発生します。

19
Steffen Ullrich

それはあなたの視点に依存します。

Webサイトのメンテナーと管理人の観点から見た場合、2つの懸念が当てはまります。HTTP/ 2はHTTP/1.1よりも時間が経過していないため、プロトコルを話すソフトウェアは成熟する時間が短くなりました。要するに、現時点では、HTTP/2とWAFの組み合わせはでこぼこ道になると思います。また、HTTP/2の情報の取得とセキュリティ強化のアウトソーシングは、HTTP/1.1の場合よりも難しくなります。ただし、HTTP/2を実行している(このサイトのような)大きなサイトの量から判断して、不可能ではありません。

一方、あなたがWebプラットフォームの作成者であり、HTTP/2に精通していて、HTTP/2 Edge実装のメンテナーである場合、HTTP/2の方が少しenablingよりもセキュリティに関しては、HTTP/1.1。手始めに、多くのマルウェアと迷惑なボットがまだHTTP/1.1で実行されており、これはセキュリティスタックに対する強力なシグナルです。また、多重化により、ユーザーエージェントの動作の追跡と属性付けが容易になります。 HTTP/2のバイナリフレーミングは、HTTP/1.1チャンクエンコーディングとパイプラインの互換性のない実装によって引き起こされるセキュリティの問題を排除します。

15
dsign