Transmitir sobre HTTP y sus riesgos


La implementación del protocolo HTTP utiliza el protocolo de control de transmisión (TCP) el cual fue estandarizado en 1980, 10 años antes de la aparición de la web. Los primeros protocolos de la capa de aplicación se diferencian considerablemente de HTTP.





Por ejemplo, telnet, es una aplicación interactiva que utiliza una única conexión TCP para la transferencia de datos entre el cliente y el servidor en un periodo de tiempo. FTP mantiene una conexión de control entre el cliente y el servidor y transmite los datos en conexiones separadas. En contraste, HTTP utiliza una única conexión para la transferencia de control y datos. En comparación con los archivos transferidos por ftp, la mayoría de las peticiones y respuestas HTTP son relativamente cortas y ágiles. Estas características de HTTP unidas a que los puertos sobre los que opera (80 y 443) se intuyen siempre abiertos en todos los firewall, le han hecho convertirse en una capa de transporte de aplicaciones.

Muchas de las aplicaciones web actuales, utilizan HTTP para transportar otros protocolos de aplicación como, JSON, SOAP o RSS.

La interacción de HTTP con su mecanismo de transporte TCP, lleva asociados conceptos de manejo de conexiones, e interpretación de estados (TIME_WAIT, RST, FIN..). Esto no difiere mucho del uso que hacen protocolos como SOAP que utilizan el envoltorio de HTTP para el manejo de sesiones y parámetros de estado para que el servidor web los interprete y posteriormente otra aplicación maneje los datos que contiene. HTTP es el protocolo de transporte de otras aplicaciones.

Esta nueva situación del protocolo HTTP puede conllevar 2 serios problemas:

La falta de estándares. Ya no hay aplicaciones HTTP, ahora lo que existe son aplicaciones a medida que utilizan HTTP como medio de transporte, pero que no tienen definiciones formales. Sin estándares perdemos fiabilidad, y escalabilidad,

La seguridad a nivel de aplicación. Si no existen RFCs que definan formatos de datos ni codificaciones de carácteres, ¿que WAF protegera nuestras aplicaciones?. En este aspecto, la WASC, está preparando la versión 2 de Threat Classification, el proyecto de la clasificación de amenazas web que estará disponible en breve, donde se expondran nuevas amenazas de estos pseudo-protocolos de aplicación.

Para hacernos una idea del uso actual de HTTP, basta con ver como una simple búsqueda “over http” muestra más resultados que “over tcp”.

Ayer se utilizaba HTTP para encapsular las conexiones, hoy HTTP es el protocolo de transporte de la capa de aplicación. Se avecinan interesantes retos para la seguridad web.

Fuente:
Por: Emilio Casbas
S21sec labs
http://blog.s21sec.com



Otras noticias de interés:

Yahoo retirará a Google como principal motor de búsqueda
Yahoo retirará previsiblemente a Google como la principal tecnología de búsqueda de su página en unos meses, informó el Wall Street Journal el martes. Según el periódico, algunas compañías de marketing dicen que les han contado que Yahoo cam...
Netiqueta: ¿alguien la utiliza?
Leyendo en barrapunto.com este titulo y los comentarios de este post, estoy deacuerdo que nadie le hace caso a estas sencillas normas del uso del correo electrónico....
Falsas aplicaciones invaden a Facebook
La curiosidad de descubrir quien visita nuestro perfil de Facebook o saber qué hizo una chica para arruinar su vida en tan sólo un minuto se ha convertido en un gancho cada vez más utilizado para distribuir en spam en la red social....
Denegación de servicio por SMS en teléfonos Nokia 6210
Se ha anunciado una vulnerabilidad en los teléfonos móviles Nokia 6210 que puede ser explotada por un atacante para realizar un ataque de denegación se servicios mediante el envío de un SMS maliciosamente creado....
El cifrado de datos comienza ha hacerse un hueco en la empresa
Según un estudio llevado a cabo por la empresa B2B para Kaspersky Labs en Julio de 2012 a nivel mundial, el cifrado de datos comienza ha hacerse un hueco en la empresa....
Cuidado! redes WiFi falsas
Si algo le faltaba al usuario de computadoras en cuanto a trampas que andan dando vueltas por ahí para aprovecharse de su inocencia, era la creación de redes inalámbricas falsas....
Twitter y el malware: unidos en una historia
El spam en redes sociales no es ninguna novedad. Y evidentemente los tipos son múltiples, ya que se pasa del más inofensivo que busca simplemente visibilidad, hasta el que está creado para fines poco lícitos. ...
Nuevo fraude en Facebook roba datos de acceso
Un nuevo fraude está comenzando a extenderse por Facebook. Utiliza como cebo una falsa petición de los responsables de la red social de Palo Alto para que los usuarios verifiquen que sus datos de cuenta son correctos....
TuxInfo 45 lista para la descarga
Excelente ezine del mundo Linux...
EE.UU. vota NO al OOXML
Sorprendentemente el voto de los Estados Unidos para la estandarización ISO del formato abierto de Microsoft ha sido un no como una casa. El debate y la polémica sobre la aceptación de este estándar de documentos ofimáticos se ha reabierto una v...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • http
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • transmitir
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra