Warning: strpos() expects parameter 1 to be string, array given in /home/theserverside/public_html/wp-includes/blocks.php on line 20
{"id":1115,"date":"2016-08-12T14:30:56","date_gmt":"2016-08-12T14:30:56","guid":{"rendered":"http:\/\/www.theserverside.technology\/?p=1115"},"modified":"2016-08-12T14:30:56","modified_gmt":"2016-08-12T14:30:56","slug":"","status":"publish","type":"post","link":"https:\/\/www.theserverside.technology\/it\/2016\/08\/12\/i-possibili-bug-di-http2-discussi-al-black-hat-2016\/","title":{"rendered":"","raw":""},"content":{"rendered":"","protected":false,"raw":""},"excerpt":{"rendered":"","protected":false,"raw":""},"author":8,"featured_media":1117,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_en_post_content":"HTTP\/2 \u00e8 il nuovo standard per le comunicazioni Web che sostituir\u00e0 presto il vetusto HTTP 1.1, introducendo consistenti miglioramenti che dovrebbero portare ad una maggiore velocit\u00e0 e sicurezza per quello che riguarda il Web. Al Black Hat 2016 a Las Vegas, la conferenza dove annualmente si discutono i problemi di sicurezza, i ricercatori hanno esposto per\u00f2 quelli che sembrano difetti potenziali del nuovo protocollo. Tom Van Goethem e Mathy Vanhoef hanno descritto una vulnerabilit\u00e0 che chiamano HEIST (HTTP Encrypted Information can be Stolen through TCP-windows...\u00a0<\/em>assegnare i\u00a0nomi \u00e8 sempre complicato!), un attacco che consente di determinare la dimensione esatta delle risposte TCP e rende pi\u00f9 semplici vecchie modalit\u00e0 di attacco perch\u00e8 i protocolli SSL\/TLS non fanno nulla per oscurare la lunghezza dei pacchetti.\r\n\r\n\"Concretamente, questo significa che attacchi basati sulla compressone come il CRIME o il BREACH possono essere eseguiti direttamente nel browser, da qualsiasi sito Web o script malevolo e senza che sia necessaria una posizione man-in-the-middle<\/em>. Inoltre, noi dimostriamo anche come i nostri attacchi basati sulla dimensione [dei pacchetti] possano essere usati per ottenere informazioni sensibili da vittime ignare, conducendo abusi di servizi su siti Web popolari\", hanno dichiarato.\r\n\r\nI ricercatori sono stati inoltre in grado di aumentare gli effetti dannosi degli attacchi utilizzando in modo malevolo funzionalit\u00e0 del nuovo protocollo HTTP\/2, in particolare la sua capacit\u00e0 di usare una connessione TCP unica per lanciare richieste in parallelo. Mitigare questi attacchi sarebbe molto difficile ed una, se non l'unica, delle poche misure possibili \u00e8 quella di disabilitare i cookie di terze parti.\r\n\r\nContemporaneamente, Imperva ha presentato un report che descrive vettori di attacco nel protocollo HTTP\/2 che aprono vulnerabilit\u00e0\u00a0in cinque popolari implementazioni server\u00a0del protocollo stesso, incluso IIS<\/em> di Microsoft, Apache<\/em>, Nginx<\/em>, Jetty<\/em> e nghttpd<\/em>.\r\n\r\n\"Nello studio abbiamo rilevato vulnerabilit\u00e0 in quasi tutte le componenti del nuovo protocollo HTTP\/2\", affermano. \"I quattro diversi vettori d'attacco che abbiamo scoperto sono Slow Read<\/em>, HPACK<\/em> (compressione), Dependency DoS<\/em> e Stream abuse<\/em>. Nei cinque server che abbiamo messo alla prova, tutti\u00a0erano vulnerabili almeno ad uno dei vettori d'attacco, con Slow Read che era decisamente quello prevalente\".\r\n\r\nSebbene siano stati verificate solo cinque implementazioni, Imperva ha concluso che probabilmente le vulnerabilit\u00e0 esistono anche in altri server HTTP\/2. L'azienda ha comunque lavorato con i produttori dei server per assicurarsi che le vulnerabilit\u00e0 fossero state corrette prima della pubblicazione del report.","_en_post_name":"i-possibili-bug-di-http2-discussi-al-black-hat-2016","_en_post_excerpt":"","_en_post_title":"I possibili bug di HTTP\/2 discussi al Black Hat 2016","_it_post_content":"","_it_post_name":"","_it_post_excerpt":"","_it_post_title":"","edit_language":"it"},"categories":[6],"tags":[213,299,298,171,303,301,302,300,79,94,134],"_links":{"self":[{"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/posts\/1115"}],"collection":[{"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/comments?post=1115"}],"version-history":[{"count":7,"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/posts\/1115\/revisions"}],"predecessor-version":[{"id":1123,"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/posts\/1115\/revisions\/1123"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/media\/1117"}],"wp:attachment":[{"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/media?parent=1115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/categories?post=1115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.theserverside.technology\/it\/wp-json\/wp\/v2\/tags?post=1115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}