HTTP/3 Cover Giacomo Lanzi

HTTP/3, tutto quello che c’è da sapere del protocollo di ultima versione

Estimated reading time: 5 minuti

I ricercatori della sicurezza hanno appena digerito il protocollo HTTP/2, ma gli innovatori del web stanno già pubblicando un aggiornamento: HTTP/3. Questa tecnologia offre guadagni in prestazioni e benefici nella sicurezza, ma solo se superiamo i problemi di implementazione che ci aspettano per quello che sembra un cambiamento evolutivo piuttosto che una rivoluzione vera e propria nel modo in cui funziona il web.

In questo articolo cercherò di fare chiarezza su cosa sia il nuovo protocollo HTTP/3, quali sono le sue caratteristiche e come puoi implementarle al tuo web hosting tramite Cloudflare con i servizi offerti da SOD.

HTTP/3 rete veloce

Cos’è HTTP/3 nel dettaglio

HTTP/3 è un major update dell’HyperText Transfer Protocol (HTTP), la tecnologia che sta alla base del trasferimento di informazioni sul web. HTTP/3 gira su QUIC, un protocollo di trasporto generale criptato che “accorpa” più flussi di dati su una singola connessione.

QUIC è stato inizialmente sviluppato da Google e utilizza il controllo della congestione su User Datagram Protocol (UDP).

Qual è la relazione con HTTP/2?

HTTP/2 ha portato alcuni miglioramenti tramite una tecnologia di download non bloccanti, pipelining e server push che aiutano a superare alcune limitazioni del protocollo TCP che è comunque alla base dell’HTTP/2 così come dell’HTTP. Sostanzialmente, con HTTP/2 possiamo ridurre al minimo il numero di cicli richiesta – risposta tra client e server.

HTTP/2 ha reso possibile inviare più di una risorsa in una singola connessione TCP, un processo che si chiama multiplexing. Il protocollo restituisce maggiore flessibilità nell’ordine dei download statici e le pagine non sono più vincolate da una progressione lineare dei download.

È possibile pensare ad HTTP/3 come il protocollo precedente che invece di usare il TCP per il trasferimento, utilizza il QUIC, il protocollo che abbiamo citato qui sopra.

I benefici del nuovo protocollo

Il passaggio a QUIC va molto verso la risoluzione di uno dei principali problemi di HTTP/2, vale a dire “head of line blocking”, letteralmente il blocco dell’inizio della linea.

Poiché la natura parallela del multiplexing HTTP/2 non è visibile ai meccanismi di recupero delle perdite di TCP, un pacchetto perso o riordinato causa lo stallo di tutte le transazioni attive, indipendentemente dal fatto che una particolare transazione sia stata o meno influenzata dal pacchetto perso.

Poiché QUIC fornisce un multiplexing nativo, i pacchetti persi hanno un impatto solo sui flussi in cui i dati sono stati interessati. L’effetto pratico dell’aggiornamento a HTTP/3 è quello di ridurre la latenza delle connessioni internet scarse o con perdite frequenti di pacchetti.

Inoltre, QUIC è quasi interamente crittografato, il che significa che la sicurezza è notevolmente migliorata con HTTP/3. Questa crittografia incorporata significa meno opportunità per gli attacchi MitM (manipulator-in-the-middle). QUIC include anche altre caratteristiche che aiutano a proteggere contro gli exploit denial of service (DoS), di cui abbiamo parlato in un altro articolo in relazione ai ransomware.

QUIC combina i suoi handshake crittografati e di trasporto in modo da permettere la connessione a un nuovo server in una singola richiesta. La stessa tecnologia permette di riprendere rapidamente una connessione interrotta con il client che invia dati applicativi crittografati nella prima interazione. Il protocollo usa TLS 1.3 come elemento costitutivo nel suo handshake crittografato.

Supporto del nuovo protocollo

A marzo 2021 il protocollo HTTP/3 è ancora una bozza standard e ha già molteplici implementazioni. Al momento circa il 14.3% dei 10 milioni di siti web esistenti supportano HTTP/3. Per confronto, HTTP/2 è supportato dal 50.5% delle piattaforme. Fonte dei dati è W3Techs.

Per quello che riguarda i browser, il protocollo è supportato dalle versioni stabili di Chrome in maniera non predefinita (da dicembre 2019) e da Firefox (da gennaio 2020).

HTTP/3 Connessioni sicure

I vantaggi dell’introduzione di HTTP/3

HTTP/3 dovrebbe offrire un tempo di caricamento più veloce e migliori prestazioni per i siti web, in particolare sulle reti soggette a perdite frequenti di pacchetti, rispetto alle tecnologie precedenti.

Achiel van der Mandele, product manager di Cloudflare ha spiegato: “In poche parole, crediamo che HTTP/3 renderà internet migliore per tutti. HTTP/3 è il successore di HTTP/2, che offre prestazioni migliori durante il caricamento dei siti web.

“Gli utenti HTTP/3 beneficeranno di una configurazione della connessione più veloce e di prestazioni migliori su reti di scarsa qualità con elevate quantità di perdita di pacchetti. Entrambi questi miglioramenti assicurano che i siti web si carichino più velocemente e in modo più affidabile”, ha detto Mandele a The Daily Swig.

Robin Marx, esperto di protocolli web, è stato più cauto nel parlare dei benefici di HTTP/3:

“Anche le prestazioni ne dovrebbero beneficiare, anche se non di molto nella pratica”, ha detto. “La rimozione del blocco dell’head-of-line non conta tanto per [cose come] il caricamento delle pagine web.

“La maggior parte dei guadagni sarà dovuta ai tempi più brevi di impostazione dell’handshake”, ha spiegato, aggiungendo che HTTP/3 e QUIC rappresentano «un’evoluzione, non una rivoluzione».

“Le prestazioni saranno migliori, ma non in un modo super-notevole per cose come la navigazione web”, ha detto Marx. “La sicurezza dovrebbe essere migliore e proteggere contro diversi tipi di attacchi“. (Fonte)

Disponibilità del protocollo

Come abbiamo visto, il nuovo protocollo di trasferimento HTTP/3 potrebbe essere una notevole evoluzione in ambito di sicurezza, più che di performance, dove eccellerà in modo significativo nell’impostazione degli handshakes. Al momento non tutti i servizi di hosting sono in grado di offrire il supporto per il nuovo protocollo.

Noi a SOD lo offriamo attraverso Cloudflare, il nostro partner per le CDN. Nel nostro servizio di web hosting è possibile abilitare le CDN gratuitamente per poi impostare il supporto al nuovo HTTP/3 tramite il pannello Cloudflare stesso.

Per avere maggiori informazioni, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • APPLE-SA-2023-01-24-1 tvOS 16.3 Gennaio 27, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
  • [SYSS-2022-047] Razer Synapse - Local Privilege Escalation Gennaio 27, 2023
    Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
  • [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin Gennaio 26, 2023
    Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
  • t2'23: Call For Papers 2023 (Helsinki, Finland) Gennaio 24, 2023
    Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
  • Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm Gennaio 24, 2023
    Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
  • APPLE-SA-2023-01-23-8 Safari 16.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
  • APPLE-SA-2023-01-23-7 watchOS 9.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
  • APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
  • APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]
  • APPLE-SA-2023-01-23-4 macOS Ventura 13.2 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-4 macOS Ventura 13.2 macOS Ventura 13.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213605. AppleMobileFileIntegrity Available for: macOS Ventura Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]

Customers

Newsletter