HTTP/2-Sicherheit
Was ist HTTP/2-Sicherheit?
HTTP/2-SicherheitDas Sicherheitsmodell von HTTP/2 (RFC 9113) uber TLS 1.2+ sowie die Fallstricke von HPACK, Multiplexing, CONTINUATION-Frames und dem Rapid-Reset-Angriff 2023.
HTTP/2 ist in RFC 9113 (ersetzt RFC 7540) spezifiziert und multiplext viele gleichzeitige Anfragen uber eine einzige TLS-Verbindung; HPACK (RFC 7541) komprimiert Header in einem binaren Framing. In der Praxis lauft jeglicher Browser-HTTP/2-Verkehr uber TLS 1.2 oder 1.3 mit den in Abschnitt 9.2 vorgeschriebenen Cipher-Einschrankungen. Implementierungen mussen bekannte Angriffe abwehren: HPACK Bomb (Speicheramplifikation), CONTINUATION-Flood (CVE-2024-27316), HTTP Request Smuggling am H2-H1-Ubergang und den im Oktober 2023 offengelegten Rapid-Reset-Angriff (CVE-2023-44487), bei dem Streams sofort wieder abgebrochen werden, um die Server-CPU mit Rekord-DDoS zu uberlasten. Hartung umfasst Stream- und Frame-Quotas, RST_STREAM-Ratenbegrenzung und aktuelle Server-Implementierungen.
● Beispiele
- 01
CVE-2023-44487 (Rapid Reset): Angreifer offnen und stornieren HTTP/2-Streams per RST_STREAM und erzeugen DDoS-Spitzen von ~398 Mio. Requests/Sekunde.
- 02
CVE-2024-27316: nginx & Co. erschopfen Speicher, indem sie unbegrenzte HEADERS+CONTINUATION-Folgen akzeptieren.
● Häufige Fragen
Was ist HTTP/2-Sicherheit?
Das Sicherheitsmodell von HTTP/2 (RFC 9113) uber TLS 1.2+ sowie die Fallstricke von HPACK, Multiplexing, CONTINUATION-Frames und dem Rapid-Reset-Angriff 2023. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet HTTP/2-Sicherheit?
Das Sicherheitsmodell von HTTP/2 (RFC 9113) uber TLS 1.2+ sowie die Fallstricke von HPACK, Multiplexing, CONTINUATION-Frames und dem Rapid-Reset-Angriff 2023.
Wie funktioniert HTTP/2-Sicherheit?
HTTP/2 ist in RFC 9113 (ersetzt RFC 7540) spezifiziert und multiplext viele gleichzeitige Anfragen uber eine einzige TLS-Verbindung; HPACK (RFC 7541) komprimiert Header in einem binaren Framing. In der Praxis lauft jeglicher Browser-HTTP/2-Verkehr uber TLS 1.2 oder 1.3 mit den in Abschnitt 9.2 vorgeschriebenen Cipher-Einschrankungen. Implementierungen mussen bekannte Angriffe abwehren: HPACK Bomb (Speicheramplifikation), CONTINUATION-Flood (CVE-2024-27316), HTTP Request Smuggling am H2-H1-Ubergang und den im Oktober 2023 offengelegten Rapid-Reset-Angriff (CVE-2023-44487), bei dem Streams sofort wieder abgebrochen werden, um die Server-CPU mit Rekord-DDoS zu uberlasten. Hartung umfasst Stream- und Frame-Quotas, RST_STREAM-Ratenbegrenzung und aktuelle Server-Implementierungen.
Wie schützt man sich gegen HTTP/2-Sicherheit?
Schutzmaßnahmen gegen HTTP/2-Sicherheit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für HTTP/2-Sicherheit?
Übliche alternative Bezeichnungen: RFC 9113, h2.
● Verwandte Begriffe
- network-security№ 499
HTTP/3 / QUIC
HTTP/3 (RFC 9114) ist die HTTP-Abbildung auf QUIC (RFC 9000), einen UDP-basierten, verschlusselten Transport mit integriertem TLS 1.3 und Stream-Multiplexing ohne Head-of-Line-Blocking.
- vulnerabilities№ 494
HTTP Request Smuggling
Angriff, der unterschiedliche Interpretationen einer HTTP-Request-Grenze zwischen Frontend-Proxy und Backend-Server ausnutzt, um eine versteckte zweite Anfrage einzuschleusen.
- network-security№ 1227
Web Application Firewall (WAF)
Ein Reverse-Proxy-Filter, der HTTP/HTTPS-Verkehr inspiziert, um Web-Angriffe wie SQL-Injection, XSS und Bot-Missbrauch zu blockieren, bevor sie die Anwendung erreichen.