Seguranca HTTP/2
O que é Seguranca HTTP/2?
Seguranca HTTP/2O modelo de seguranca do HTTP/2 (RFC 9113) sobre TLS 1.2+, alem das armadilhas operacionais do HPACK, multiplexacao, frames CONTINUATION e do ataque Rapid Reset de 2023.
O HTTP/2 e especificado na RFC 9113 (que substitui a RFC 7540) e multiplexa muitos pedidos em paralelo numa unica conexao TLS, usando HPACK (RFC 7541) para compressao de cabecalhos e frames binarios. Na pratica, todo o trafego HTTP/2 de browsers corre sobre TLS 1.2 ou 1.3 com as restricoes de suites obrigatorias na seccao 9.2 da RFC 9113. As implementacoes devem mitigar abusos conhecidos: HPACK Bomb (amplificacao de memoria), inundacao de CONTINUATION (CVE-2024-27316), HTTP request smuggling na fronteira H2-H1 e o ataque Rapid Reset (CVE-2023-44487, divulgado em outubro de 2023), em que atacantes abrem e cancelam streams para esgotar a CPU com DDoS recorde. O reforco inclui quotas, limites de RST_STREAM e implementacoes atualizadas.
● Exemplos
- 01
CVE-2023-44487 (Rapid Reset): atacantes abrem e cancelam streams HTTP/2 atingindo picos DDoS de ~398 milhoes de pedidos por segundo.
- 02
CVE-2024-27316: nginx e outros esgotam memoria ao aceitar sequencias HEADERS+CONTINUATION sem limites.
● Perguntas frequentes
O que é Seguranca HTTP/2?
O modelo de seguranca do HTTP/2 (RFC 9113) sobre TLS 1.2+, alem das armadilhas operacionais do HPACK, multiplexacao, frames CONTINUATION e do ataque Rapid Reset de 2023. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Seguranca HTTP/2?
O modelo de seguranca do HTTP/2 (RFC 9113) sobre TLS 1.2+, alem das armadilhas operacionais do HPACK, multiplexacao, frames CONTINUATION e do ataque Rapid Reset de 2023.
Como se defender contra Seguranca HTTP/2?
As defesas contra Seguranca HTTP/2 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Seguranca HTTP/2?
Nomes alternativos comuns: RFC 9113, h2.