Server web

Protocollo HTTP2, i possibili problemi di sicurezza

Secondo alcuni esperti informatici il nuovo standard potrebbe  mettere a rischio  dati e privacy
Protocollo HTTP2, i possibili problemi di sicurezza FASTWEB S.p.A.

Il lavoro dell'Internet Engineering Task Force (abbreviato in IETF, organismo internazionale composto da tecnici interessati all'evoluzione tecnica e tecnologica di Internet) sul protocollo HTTP/2 si è concluso nel febbraio 2015 e da allora i maggiori player del settore ICT hanno cominciato ad adottare il nuovo standard, mandando in pensione il vecchio e ormai non più sicuro HTTP/1.1.

Il nuovo protocollo HTTP, nello specifico, rende più veloce la navigazione cambiando le modalità con le quali sono gestite le richieste di accesso ai contenuti web. Una richiesta di accesso al server permetterà di ricevere una quantità di dati maggiore rispetto al passato, eliminando la necessità di inviare più richieste per il caricamento di una singola risorsa web (come, ad esempio, una singola immagine in una pagina html). Il client, inoltre, potrà inviare contemporaneamente più richieste a più server, velocizzando ulteriormente il caricamento di uno o più siti Internet.

 

Web

 

Si tratta del maggior cambiamento che il protocollo ha subito da quando è stato creato (si parla di oltre 25 anni fa in concomitanza con la nascita del World Wide Web). Il protocollo HTTP2 dovrebbe portare migliorie sul piano delle prestazioni perché per effettuare la visualizzazione delle pagine web impiega un numero inferiore di richieste di accesso al server che le ospita e, quindi, genera meno traffico Internet. Il protocollo si propone inoltre di garantire maggiore sicurezza. Alcuni esperti, però, ritengono che  il nuovo standard possa ancora essere afflitto da alcune falle di sicurezza importanti, tali da compromettere dati e privacy degli internauti.

I dubbi di Poul-Henning Kamp e Costantine Murenin

Il primo a sollevare dubbi sul nuovo protocollo per le comunicazioni web è stato Poul-Henning Kamp, tra i più celebri e conosciuti sviluppatori per sistema operativo FreeBSD. Nei giorni successivi al rilascio definitivo di HTTP2, il programmatore danese ha evidenziato come lo standard non assicuri la piena sicurezza dei dati degli utenti facendo troppo riferimento ad altri protocolli, in particolare l'HTTPS e lo SPDY.

 

Più lavoro per i sistemisti?

 

L'errore di partenza, per Poul-Henning Kamp sta proprio nel rapporto molto stretto che lega l'HTTP2 con SPDY, protocollo ideato da Google per sostituire il vecchio HTTP1.1. Anche se i due standard non sono identici, il nuovo protocollo HTTP in fase di adozione basa gran parte della sua infrastruttura tecnica proprio sulle soluzioni adottate da Big G: niente di più che un copia e incolla di un prodotto già esistente, insomma. La falsa partenza, sempre secondo lo sviluppatore danese, porta con sé alcuni problemi tutt'altro che secondari: l'HTTP2 non sarebbe in grado di garantire la sicurezza e la privacy dell'utente non mettendo mano ai tanti problemi legati alla gestione dei cookie, dando l'impressione che il suo sviluppo sia stato dettato (e guidato) da ragioni politiche anziché seguendo le best practice tecnologiche.

Sulla stessa lunghezza d'onda lo sviluppatore statunitense specializzato in OpenBSD e FreeBSD Costantine Murenin, secondo cui lo standard non include la crittografia opportunistica e fa invece completo affidamento sulla cifratura dei dati tramite HTTPS: non il massimo della sicurezza quindi.

 

Server

 

I problemi con i Web application firewall

Per Yaron Azerual, esperto di sicurezza informatica, l'implementazione del nuovo standard di comunicazione del web potrebbe portare a problemi con i Web Application Firewall (WAF, firewall utilizzati per filtrare il traffico da e verso applicativi web), incapaci di "mantenere il passo" con l'evoluzione del protocollo HTTP.

Nel caso di un attacco portato a livello applicazione (il livello più alto del modello ISO/OSI) sfruttando l'infrastruttura comunicativa del protocollo HTTP2, i WAF non sarebbero in grado di contrapporre alcuno scudo protettivo, lasciando così spazio agli hacker. Il motivo è presto detto: anche se un firewall di questo genere è in grado di leggere  le informazioni crittografate tramite il protocollo HTTPS, potrebbe non riconoscere attacchi che transitano attraverso lo HTTP2. Ciò accade perché non tutti i firewall sono già aggiornati per lavorare con il nuovo standard e le versioni più datate potrebbero non riuscire a "decifrare" le richieste e i dati che transitano attraverso lo HTTP2.

 

Server

 

Fortunatamente, Azerual fa notare che esiste una soluzione  per risolvere il problema. Assegnando funzionalità di gateway alla macchina che utilizza il protocollo HTTP2 e traducendo le richieste di accesso dal nuovo  al vecchio standard HTTP1.1, il firewall è in grado di distinguere se la connessione in ingresso è un tentativo di attacco o una normale richiesta di accesso ai dati presenti nel server.

copyright © CULTUR-E
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail