Lek in HTTP maakt massa-aanvallen waarschijnlijker

IETF-logoHet zal jaren duren voor dat lek overal gerepareerd is. Google, Amazon en Microsoft zouden al diverse massa-aanvallen op hun wolkstructuur achter de kiezen hebben in augustus en september. Die massa-aanvallen zijn bedoeld om webstekken lam te leggen. Die aanvallen zouden zijn gepleegd door gebruik te maken van een kwetsbaarheid in HTTP. Dat lek is HTTP/2 Rapid Reset gedoopt
Het probleem met fouten in een webprotocol, dat we dagelijks vele malen gebruiken op het web, is dat die niet eenvoudig gerepareerd kunnen worden door een ‘pleister’. De beheerders van iedere webserver zullen vaak zelf de boel moeten repareren.
Anders dan bij fouten kwetsbaarheden in programma’s of in besturingsystemen is het niet mogelijk het lek in HTTP centraal te dichten. Veel weblokaties gebruiken een eigen versie van HTTP. Daardoor zal het naar verwachting nog lang duren voordat het lek gedicht is.

HTTP/2 is inmiddels acht jaar actief. Dat werd ontwikkeld door de Internet Engineering Task Force (IETF). Dat zou beter werken met mobiele apparatuur en minder brandbreedte vergen. IETF is nu bezig met HTTP/3.

Weinig schade

Hoewel de recente massa-aanvallen massaal waren, schijnt er niet veel schade aangericht te zijn. Google, Amazon en Microsoft schijnen de aanvallen inmiddels te hebben afgeslagen. Door die aanvallen werd wel duidelijk waar de kwetsbaarheid zat (in het HTTP/2). Overigens schijnen lekken in een standaardwebprotocol zeldzaam te zijn. Gelukkig maar.

Bron: Wired

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.