5. HTTP/1.1 ve HTTP/2 Benzerlikleri
diff HTTP/1.1 HTTP/2 (-)
• HTTP metotları
– GET, POST
• Durum kodları
– 200, 404, 500
• Resmi adres sistemi
– URI
• HTTP başlıkları ve çerezler
5
6. HTTP/1.1 ve HTTP/2 Farklılıkları
diff HTTP/1.1 HTTP/2 (>)
• Düzyazı Binary
• Sıralı istekler Paralel istekler
• Çoklu istekler Tek istek
• GZIP HPACK
• İstek & cevap Sunucudan push özelliği
6
12. Güvenlik – Protokol Hataları
iptables -A INPUT -p HTTP/2 --dport 443 -j DROP
12
Kaynak: https://github.com/http2/http2-spec/issues?q=label%3Asecurity+is%3Aclosed
13. Güvenlik – Şifreleme
openssl s_server -HTTP/2
• Bilinenin aksine TLS varsayılan değil
– h2: HTTP/2 over TLS
– h2c: HTTP/2 over TCP
• Chrome, Firefox, IE şu anda sadece h2 destekliyor
13
14. Güvenlik – Yeni Atak Yüzeyleri
apt-get install HTTP/2
• HPACK
• Sürüm yükseltme/düşürme
• Tutarsız çoğullama
• Kötü biçimlendirilmiş çerçeveler
• İstemciye/sunucuya gelişigüzel veri gönderme
• Ana akış bağlılıkları
• Geçersiz çerçeve durumları
14
15. Güvenlik – Hizmet Engelleme
httpflood.py -p HTTP/2 -u target
• Performans artışı
• Uygulama seviyesindeki ataklarda düşüş
15
16. Güvenlik – CVE
use auxiliary/scanner/http2/options
16
Kaynak: http://www.cvedetails.com/google-search-results.php?q=HTTP%2F2&sa=Search