Preguntas con etiqueta 'http2'

2
respuestas

¿Cuáles son los posibles problemas de seguridad al habilitar HTTP2?

Quiero habilitar HTTP2 para varios servidores web, pero me preocupan las posibles implicaciones de seguridad. Pienso en algo como: Las implementaciones HTTP2 son tal vez más propensas a errores que las implementaciones HTTP1 maduras, por lo...
hecha 12.07.2017 - 08:34
2
respuestas

¿Por qué la especificación HTTP / 2 no requiere TLS?

Aunque ningún navegador implementa la especificación HTTP / 2 completa en este momento, limitándose solo a la parte TLS, hay historias en Internet que indican que esta implementación incompleta de la especificación es una forma de resistir el ca...
hecha 29.01.2016 - 18:38
2
respuestas

¿Cuáles son los beneficios o riesgos de seguridad de HTTP / 2?

Dado que HTTP / 2 está empezando a ser adoptado por más y más sitios cada día. ¿Existen ventajas de seguridad o riesgos conocidos con respecto a HTTP / 2?     
hecha 16.03.2017 - 22:37
2
respuestas

Entendiendo los cifrados en lista negra para HTTP2

He estado trabajando en conseguir que el soporte HTTP2 se ejecute en un servidor Nginx desde hace algún tiempo. En este punto estoy atascado en la selección de cifrados para apoyar. Espero que me puedas ayudar a entender esto. Antes de comenz...
hecha 12.06.2016 - 00:19
1
respuesta

¿Qué beneficios de seguridad aporta ALPN a TLS?

He estado recomendando Negociación de protocolo de la capa de aplicación (el sucesor de la próxima negociación de protocolo) a personas para Hace un tiempo, pero recientemente me di cuenta de que en realidad no tengo un ejemplo concreto de sus...
hecha 12.01.2017 - 12:37
1
respuesta

Alternativa a la autenticación de certificado de cliente con HTTP / 2

Actualmente estamos ocupados en mejorar una aplicación de Android con conexiones a una API del Servicio de aplicaciones de Azure mediante certificados de cliente y token de portador para la autenticación a través de TLS 1.2. Estamos investiga...
hecha 13.06.2018 - 08:52
1
respuesta

¿Existen fuertes razones técnicas para que los navegadores exijan TLS para http2?

Me doy cuenta de que hay preguntas similares en torno a este tema, sin embargo, creo que esto es lo suficientemente diferente / enfocado para no ser un duplicado. Espero que no suene como una caja de jabón. HTTP / 2 obliga efectivamente a TLS...
hecha 13.03.2016 - 20:09
2
respuestas

aclaración CORS

Necesito algunas aclaraciones sobre los problemas que CORS (Intercambio de recursos entre orígenes) puede causar. Supongamos que el sitio A.COM ha habilitado CORS, en particular: Access-Control-Allow-Origin se puede establecer en cualquier s...
hecha 31.03.2018 - 20:09
2
respuestas

Selección de conjunto de cifrado para compatibilidad con http / 2 y TLS 1.0-1.2

He intentado configurar mi sitio para que sea compatible con http / 2, pero seguí teniendo que eliminar las suites de cifrado debido a la lista negra. Finalmente, conseguí que la lista se redujera lo suficiente. El problema, sin embargo, es q...
hecha 20.03.2016 - 08:11
1
respuesta

Cifras de claves estáticas y persistencia de claves

Un informe de vulnerabilidad indica lo siguiente:    El servidor está configurado para admitir cifrados conocidos como cifrados de clave estática. Estos cifrados no admiten el "secreto de reenvío". En la nueva especificación para HTTP / 2, es...
hecha 11.09.2017 - 14:41