Il lavoro dell'Internet Engineering Task Force (abbreviato in IETF, organismo internazionale composto da tecnici interessati all'evoluzione tecnica e tecnologica di Internet) sul protocollo HTTP/2 si è concluso nel febbraio 2015 e da allora i maggiori player del settore ICT hanno cominciato ad adottare il nuovo standard, mandando in pensione il vecchio e ormai non più sicuro HTTP/1.1.
Il nuovo protocollo HTTP, nello specifico, rende più veloce la navigazione cambiando le modalità con le quali sono gestite le richieste di accesso ai contenuti web. Una richiesta di accesso al server permetterà di ricevere una quantità di dati maggiore rispetto al passato, eliminando la necessità di inviare più richieste per il caricamento di una singola risorsa web (come, ad esempio, una singola immagine in una pagina html). Il client, inoltre, potrà inviare contemporaneamente più richieste a più server, velocizzando ulteriormente il caricamento di uno o più siti Internet.
Si tratta del maggior cambiamento che il protocollo ha subito da quando è stato creato (si parla di oltre 25 anni fa in concomitanza con la nascita del World Wide Web). Il protocollo HTTP2 dovrebbe portare migliorie sul piano delle prestazioni perché per effettuare la visualizzazione delle pagine web impiega un numero inferiore di richieste di accesso al server che le ospita e, quindi, genera meno traffico Internet. Il protocollo si propone inoltre di garantire maggiore sicurezza. Alcuni esperti, però, ritengono che il nuovo standard possa ancora essere afflitto da alcune falle di sicurezza importanti, tali da compromettere dati e privacy degli internauti.
I dubbi di Poul-Henning Kamp e Costantine Murenin
Il primo a sollevare dubbi sul nuovo protocollo per le comunicazioni web è stato Poul-Henning Kamp, tra i più celebri e conosciuti sviluppatori per sistema operativo FreeBSD. Nei giorni successivi al rilascio definitivo di HTTP2, il programmatore danese ha evidenziato come lo standard non assicuri la piena sicurezza dei dati degli utenti facendo troppo riferimento ad altri protocolli, in particolare l'HTTPS e lo SPDY.
L'errore di partenza, per Poul-Henning Kamp sta proprio nel rapporto molto stretto che lega l'HTTP2 con SPDY, protocollo ideato da Google per sostituire il vecchio HTTP1.1. Anche se i due standard non sono identici, il nuovo protocollo HTTP in fase di adozione basa gran parte della sua infrastruttura tecnica proprio sulle soluzioni adottate da Big G: niente di più che un copia e incolla di un prodotto già esistente, insomma. La falsa partenza, sempre secondo lo sviluppatore danese, porta con sé alcuni problemi tutt'altro che secondari: l'HTTP2 non sarebbe in grado di garantire la sicurezza e la privacy dell'utente non mettendo mano ai tanti problemi legati alla gestione dei cookie, dando l'impressione che il suo sviluppo sia stato dettato (e guidato) da ragioni politiche anziché seguendo le best practice tecnologiche.
Sulla stessa lunghezza d'onda lo sviluppatore statunitense specializzato in OpenBSD e FreeBSD Costantine Murenin, secondo cui lo standard non include la crittografia opportunistica e fa invece completo affidamento sulla cifratura dei dati tramite HTTPS: non il massimo della sicurezza quindi.
I problemi con i Web application firewall
Per Yaron Azerual, esperto di sicurezza informatica, l'implementazione del nuovo standard di comunicazione del web potrebbe portare a problemi con i Web Application Firewall (WAF, firewall utilizzati per filtrare il traffico da e verso applicativi web), incapaci di "mantenere il passo" con l'evoluzione del protocollo HTTP.
Nel caso di un attacco portato a livello applicazione (il livello più alto del modello ISO/OSI) sfruttando l'infrastruttura comunicativa del protocollo HTTP2, i WAF non sarebbero in grado di contrapporre alcuno scudo protettivo, lasciando così spazio agli hacker. Il motivo è presto detto: anche se un firewall di questo genere è in grado di leggere le informazioni crittografate tramite il protocollo HTTPS, potrebbe non riconoscere attacchi che transitano attraverso lo HTTP2. Ciò accade perché non tutti i firewall sono già aggiornati per lavorare con il nuovo standard e le versioni più datate potrebbero non riuscire a "decifrare" le richieste e i dati che transitano attraverso lo HTTP2.
Fortunatamente, Azerual fa notare che esiste una soluzione per risolvere il problema. Assegnando funzionalità di gateway alla macchina che utilizza il protocollo HTTP2 e traducendo le richieste di accesso dal nuovo al vecchio standard HTTP1.1, il firewall è in grado di distinguere se la connessione in ingresso è un tentativo di attacco o una normale richiesta di accesso ai dati presenti nel server.