Transmitir sobre HTTP y sus riesgos


La implementación del protocolo HTTP utiliza el protocolo de control de transmisión (TCP) el cual fue estandarizado en 1980, 10 años antes de la aparición de la web. Los primeros protocolos de la capa de aplicación se diferencian considerablemente de HTTP.





Por ejemplo, telnet, es una aplicación interactiva que utiliza una única conexión TCP para la transferencia de datos entre el cliente y el servidor en un periodo de tiempo. FTP mantiene una conexión de control entre el cliente y el servidor y transmite los datos en conexiones separadas. En contraste, HTTP utiliza una única conexión para la transferencia de control y datos. En comparación con los archivos transferidos por ftp, la mayoría de las peticiones y respuestas HTTP son relativamente cortas y ágiles. Estas características de HTTP unidas a que los puertos sobre los que opera (80 y 443) se intuyen siempre abiertos en todos los firewall, le han hecho convertirse en una capa de transporte de aplicaciones.

Muchas de las aplicaciones web actuales, utilizan HTTP para transportar otros protocolos de aplicación como, JSON, SOAP o RSS.

La interacción de HTTP con su mecanismo de transporte TCP, lleva asociados conceptos de manejo de conexiones, e interpretación de estados (TIME_WAIT, RST, FIN..). Esto no difiere mucho del uso que hacen protocolos como SOAP que utilizan el envoltorio de HTTP para el manejo de sesiones y parámetros de estado para que el servidor web los interprete y posteriormente otra aplicación maneje los datos que contiene. HTTP es el protocolo de transporte de otras aplicaciones.

Esta nueva situación del protocolo HTTP puede conllevar 2 serios problemas:

La falta de estándares. Ya no hay aplicaciones HTTP, ahora lo que existe son aplicaciones a medida que utilizan HTTP como medio de transporte, pero que no tienen definiciones formales. Sin estándares perdemos fiabilidad, y escalabilidad,

La seguridad a nivel de aplicación. Si no existen RFCs que definan formatos de datos ni codificaciones de carácteres, ¿que WAF protegera nuestras aplicaciones?. En este aspecto, la WASC, está preparando la versión 2 de Threat Classification, el proyecto de la clasificación de amenazas web que estará disponible en breve, donde se expondran nuevas amenazas de estos pseudo-protocolos de aplicación.

Para hacernos una idea del uso actual de HTTP, basta con ver como una simple búsqueda “over http” muestra más resultados que “over tcp”.

Ayer se utilizaba HTTP para encapsular las conexiones, hoy HTTP es el protocolo de transporte de la capa de aplicación. Se avecinan interesantes retos para la seguridad web.

Fuente:
Por: Emilio Casbas
S21sec labs
http://blog.s21sec.com



Otras noticias de interés:

PODER DE INTERNET EXPLORER SIGUEN DESCUBRIENDOSE BUGS PENDIENTES DE SOLUCIONAR
El bug que teóricamente había sido corregido por Microsoft en uno de sus parches para Internet Explorer, puede seguir siendo explotado en las últimas versiones del popular navegador web. El bug consiste en un supuesto fallo al interpretar archivos...
Nueva actualización de VMware que soluciona varias vulnerabilidades
VMware había solucionado varias vulnerabilidades en el servicio de la consola de ESX Server, pues VMWare ha publicado una nueva actualización que soluciona varias vulnerabilidades, pero está vez para Workstation, Player, ACE, Server, ESX and ESXi....
Localizando (físicamente) routers inalámbricos a partir del identificador emitido (BSSID)
Una simpática empresa denominada Skyhook lleva años pagando a gente para que realice wardriving en su nombre por todos los Estados Unidos. ...
Registran servicios postales italianos "violento" ataque informatico
En el más violento ataque informático en Italia, 14 mil ventanillas del servicio postal del país quedaron hoy bloqueadas por el llamado virus Sql, informó el responsable de los servicios informáticos del sistema de correos, Paolo Baldelli. ...
Vulnerabilidades en varios lectores PDF para Unix
El CERT/CC informa de una vulnerabilidad detectada en varios visores y lectores de documentos en formato PDF para entornos Unix. Las implicaciones en materia de seguridad son graves, ya que un atacante podría ejecutar comandos d...
Ciberguerra es una exageración que podría militarizar Internet
Las amenazas de una guerra cibernética se exageran enormemente, según le dijo a la BBC un destacado experto en temas de seguridad....
Microsoft y otro paquete de boletines de seguridad
Como en otras oportunidades - Tres nuevos boletines de seguridad de Microsoft fueron anunciados, conteniendo parches para conocidas vulnerabilidades en los productos Word, Excel, Windows XP, SQL Server 7.0 y 2000....
iPod también para Linux
Hace meses, Apple revolucionó el mundo de los reproductores portátiles con iPod. El aparato ha gustado a muchos, pero nació para funcionar sólo con Mac. Hace unos meses, lanzaron una herramienta para hacerlo compatible con Windows, y ahora le toc...
Facebook permite configurar la privacidad de cada foto
La red social Facebook permitirá configurar la privacidad de cada foto de forma individual. Ya ofrecía la posibilidad de configurar la privacidad de los álbumes de fotos, pero hasta ahora no era posible hacerlo de forma individual para cada imagen...
Descubren peligrosas vulnerabilidades en 41 apps de Android
Un equipo de investigadores alemanes ha descubierto importantes vulnerabilidades en 41 aplicaciones presentes en Google Play que han sido descargadas entre 39,5 y 185 millones de ocasiones. Estos fallos de seguridad pueden permitir acceder a informac...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • http
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • transmitir
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra