Безопасность HTTP/2
Что такое Безопасность HTTP/2?
Безопасность HTTP/2Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года.
HTTP/2 определён в RFC 9113 (заменяет RFC 7540) и мультиплексирует множество одновременных запросов поверх одной TLS-сессии с использованием HPACK (RFC 7541) для сжатия заголовков и бинарного фрейминга. На практике весь браузерный HTTP/2-трафик идёт по TLS 1.2 или 1.3 при обязательных ограничениях шифр-наборов из раздела 9.2 RFC 9113. Реализации должны защищаться от известных атак: HPACK Bomb (амплификация памяти), CONTINUATION-флуд (CVE-2024-27316), HTTP request smuggling на границе H2-H1 и Rapid Reset (CVE-2023-44487, раскрыт в октябре 2023), когда злоумышленники открывали и тут же отменяли потоки RST_STREAM, доводя CPU сервера до пика DDoS. Защита включает квоты потоков и кадров, ограничение скорости RST_STREAM и обновление реализаций.
● Примеры
- 01
CVE-2023-44487 (Rapid Reset): открытие и отмена RST_STREAM HTTP/2-потоков давали пиковую DDoS-нагрузку до ~398 млн запросов в секунду.
- 02
CVE-2024-27316: nginx и другие исчерпывали память, принимая безлимитные последовательности HEADERS+CONTINUATION.
● Частые вопросы
Что такое Безопасность HTTP/2?
Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Безопасность HTTP/2?
Модель безопасности HTTP/2 (RFC 9113) поверх TLS 1.2+, а также эксплуатационные риски HPACK, мультиплексирования, CONTINUATION-кадров и атаки Rapid Reset 2023 года.
Как защититься от Безопасность HTTP/2?
Защита от Безопасность HTTP/2 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность HTTP/2?
Распространённые альтернативные названия: RFC 9113, h2.