it-swarm.com.de

Was sind mögliche Sicherheitsprobleme beim Aktivieren von HTTP2?

Ich möchte HTTP2 für mehrere Webserver aktivieren, bin jedoch besorgt über die möglichen Auswirkungen auf die Sicherheit. Ich denke an etwas wie:

  • HTTP2-Implementierungen sind möglicherweise fehleranfälliger als ausgereifte HTTP1-Implementierungen, sodass beispielsweise ein Zero-Day wahrscheinlicher ist
  • Die WAF funktioniert möglicherweise nicht mit HTTP2, da sie das Protokoll nicht unterstützt

Sind diese Probleme wirklich relevant und was könnten zusätzliche Probleme sein?

28
40F4

HTTP/2 ist ein viel komplexeres und neueres Protokoll als HTTP/1.x und daher sind Fehler zumindest anfangs wahrscheinlicher. Tatsächlich zeigt eine einfache Suche mehrere Implementierungsprobleme und auch einige neue oder aktualisierte Angriffsvektoren aufgrund des geänderten Designs von HTTP/2.

Die WAF funktioniert möglicherweise nicht mit HTTP2, da sie das Protokoll nicht unterstützt

Dies ist wahrscheinlich weniger ein Problem. Eine WAF ist normalerweise entweder in den HTTP-Stack des Servers integriert oder eine aktive Komponente mit einem eigenen HTTP-Stack. Aufgrund der Art und Weise, wie HTTP/2 entwickelt wurde, erfolgt ein implizites Downgrade auf HTTP/1.x, wenn der Server oder die WAF HTTP/2 nicht unterstützt. Dies gilt auch für Proxys und andere aktive Komponenten.

Dies ist ein Problem bei der rein passiven Inspektion, wie dies bei einigen Intrusion Detection-Systemen oder Firewalls der Fall ist. Eine rein passive Inspektion hat jedoch ohnehin Probleme mit der Inspektion des TLS-Verkehrs, und HTTP/2 wird nur zusammen mit TLS verwendet. Wenn stattdessen die passive Überprüfung durch das Abfangen von SSL ergänzt wird, erfolgt normalerweise erneut ein Downgrade auf HTTP/1.x, es sei denn, das Abfangen von SSL leitet die ALPN-TLS-Erweiterung während des Abfangens von SSL explizit oder unwissentlich an den HTTP/2-Server weiter.

19
Steffen Ullrich

Das hängt von Ihrer Perspektive ab.

Wenn Sie es aus der Sicht eines Website-Betreuers und Verwalters betrachten, sind Ihre beiden Bedenken berechtigt: HTTP/2 hat weniger Zeit als HTTP/1.1 verloren, und daher hatte Software, die das Protokoll spricht, weniger Zeit, um zu reifen. Bis zu dem Punkt würde ich erwarten, dass die Kombination von HTTP/2 und WAF im Moment eine holprige Straße ist. Auch das Abrufen von Informationen und das Auslagern der Sicherheitshärtung für HTTP/2 wird schwieriger als mit HTTP/1.1. Es sollte jedoch nicht unmöglich sein, gemessen an der Anzahl der großen Websites (wie dieser), auf denen HTTP/2 ausgeführt wird.

Wenn Sie jedoch ein Webplattform-Ersteller sind, mit HTTP/2 bestens vertraut sind und zufällig der Verwalter Ihrer HTTP/2-Edge-Implementierung sind, ist HTTP/2 etwas mehr aktivieren als HTTP/1.1, wenn es um Sicherheit geht. Für den Anfang laufen immer noch viele Malware- und nervige Bots auf HTTP/1.1, und das ist ein starkes Signal für den Sicherheitsstapel. Durch Multiplexing ist es außerdem einfacher, das Verhalten von Benutzeragenten zu verfolgen und zuzuordnen. Das binäre Framing von HTTP/2 beseitigt Sicherheitsprobleme, die durch inkompatible Implementierungen von HTTP/1.1-Chunked-Codierung und Pipelining verursacht werden.

15
dsign