HTTP/3 udvikler sig til RFC 9114 – en sikkerhedsfordel, men ikke uden problemer

Charlie Osborne 7. juni 2022 13:38 UTC

Opdateret: 7. juni 2022 14:30 UTC.

Grundlaget for internettet har gennemgået en større opgradering

HTTP/3 udvikler sig til RFC 9114 - en sikkerhedsfordel, men ikke uden problemer

ANALYSE HTTP/3-protokollen er blevet standardiseret med RFC 9114 – hvilket forbedrer internetsikkerheden, men ikke uden forhindringer for webudviklere.

I denne uge udgav Internet Engineering Task Force (IETF) HTTP/3-protokollen, udgivet som RFC 9114.

HTTP-protokollen er rygraden i internettet. Hypertext Transfer Protocol (HTTP) fungerer som et applikationslag for at lette kommunikationen mellem servere og browsere, modtagelse af ressourcer og overførsel af data. HTTPS er HTTP med ekstra sikkerhed gennem kryptering.

BAGGRUND HTTP/3: Alt hvad du behøver at vide om næste generations webprotokol

HTTP/3 er den seneste version af HTTP-protokollen, der erstatter HTTP/2 i 2015. HTTP/3 er designet til at løse nogle af ydeevneproblemerne i HTTP/2, forbedre brugeroplevelsen, reducere virkningen af ​​pakketab uden blokering i spidsen af ​​køenfremskynde krav til håndtryk og aktivere kryptering som standard.

Protokollen bruger pladsoverbelastningskontrol over User Datagram Protocol (UDP).

HURTIG skridt

En af de vigtigste forskelle ved HTTP/3 er HVAD SOM HELST. Googles Quick UDP Internet Connections (QUIC) protokol er blevet vedtaget af IETF, og en tilpasset version er hjørnestenen i HTTP/3.

Som markeret af cloudflareQUICs standardimplementering etablerer krypterede forbindelser på transportlaget, konsoliderer håndtryk i en enkelt handling og krypterer de metadata, der udveksles mellem forbindelserne.

Få mere at vide om de seneste nyheder om sikkerhedsudvikling

Således er pakkenumre og header-information skjult for aflyttere og angribere. Denne forbedring kan potentielt reducere succes manipulator i midten (MitM)-angreb, IP-spoofing og lammelsesangreb.

“Denne funktion var ikke inkluderet i HTTP/2,” bemærker Cloudflare. “Kryptering af disse data hjælper med at beskytte brugeradfærdsoplysninger mod angribere.”

Kryptering på transportlaget er ikke alt. siger Akamai at da HTTP/3 kører på QUIC, baner det også vejen for fremtidige innovationer inden for krypteret transmission og kommunikation – som vi har set med QUIC Datagram-udvidelsen (RFC 9221), en teknologi til sikker styring af UDP- og TCP-trafik.

Derudover understøtter protokollen nul tur-retur-tid (0-RTT) introduceret i TLS 1.3, som springer håndtrykkravet over i betroede indstillinger, men ulempen er, at dette kan føre til gentagelsesangreb uden ordentlig beskyttelse.

“Et vanskeligt perspektiv”

Rustam Lalkaka, produktdirektør, Cloudflare, tidligere fortalt os at selvom HTTP/3 har en række sikkerheds- og ydeevnefordele, kan aktivering af QUIC være en udfordring for udviklere, da mange almindelige teknologier endnu ikke har tilføjet understøttelse af QUIC og HTTP/3.

Nogle transitudbydere og internetudbydere kan være fjendtlige over for UDP-trafik, og højere CPU-brug kan være påkrævet ved implementering af HTTP/3, hvilket er skadeligt for både servere og webbrowsere.

HTTP/3-understøttelse var ruller gradvist ud i større browsere, herunder Google Chrome, Mozilla Firefox og Microsoft Edge. Apple Safari yder også support, selvom det i skrivende stund burde være aktiveret under fanen Eksperimentelle funktioner i udviklermenuen.

Scanning med Cloudflare har vist, at det meste af onlinetrafikken går gennem HTTP/2. Størstedelen af ​​aktuelle HTTP/3-anmodninger er lavet af Chrome-brugere, efterfulgt af Edge og Firefox. Safari-volumen er minimal, men Cloudflare forventer en stigning, efter Apple slår HTTP/3-understøttelse til som standard.

Ifølge Cloudflare Radar, 8 % af internettrafikken baseret på HTTP/1, efterfulgt af HTTP/2 på 67 % og HTTP/3 på 25 %.

DU VIL OGSÅ LIKE Undersøgelsen viste, at dusinvis af websteder med høj trafik er sårbare over for “pre-account kapring”.

Leave a Comment