HTTP/1.1 tem falhas críticas de separação de pedidos que expõem milhões de websites a ataques de desincronização.
Técnicas como CL.TE, TE.CL, H2.TE, 0.CL e o uso do cabeçalho Expect permitem comprometer credenciais e assumir controlo de sites.
Discrepâncias de parser entre servidores front-end e back-end tornam fácil criar ambiguidade na interpretação de Content-Length e Transfer-Encoding.
A extensão open-source HTTP Request Smuggler v3.0 e novas metodologias de deteção sistemática identificaram vulnerabilidades massivas em infraestruturas como Cloudflare, Akamai, Netlify e AWS ALB.
HTTP/2 elimina a ambiguidade de comprimento de mensagem e mitiga eficazmente ataques de desincronização, sendo recomendada a migração upstream para HTTP/2.
Mitigações pontuais como WAFs e regexes ocultam mas não corrigem a falha de base no protocolo HTTP/1.1, mantendo o risco para variantes futuras.
Get notified when new stories are published for "Hacker News 🇵🇹 Português"