Redazione RHC : 8 Agosto 2025 17:07
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da più di sei anni, con potenziali ripercussioni per milioni di siti, nonostante gli sforzi continui per arginarla. I ricercatori di PortSwigger rivelano che HTTP/1.1 rimane intrinsecamente insicuro, esponendo regolarmente milioni di siti web a tentativi di acquisizione ostile tramite sofisticati attacchi di desincronizzazione HTTP.
La società di sicurezza informatica ha segnalato l’introduzione di varie nuove tipologie di tali attacchi, che hanno messo in luce falle critiche, andando ad intaccare decine di milioni di siti web e minando l’infrastruttura basilare all’interno di più reti di distribuzione dei contenuti (CDN). Nonostate gli sforzi dei fornitori, che hanno messo in atto varie strategie di contenimento nell’arco degli ultimi sei anni, i ricercatori sono stati in grado di superare costantemente le barriere protettive.
Per la prima volta, la minaccia è stata resa pubblica da PortSwigger nel 2019, tuttavia, relativamente alla causa fondamentale della vulnerabilità, sono state apportate solo minime modifiche. Un difetto progettuale critico in HTTP/1.1 è all’origine del problema: il protocollo permette agli aggressori di generare un’estrema ambiguità sul punto in cui si conclude una richiesta e sul punto in cui inizia la successiva.
La presenza di ambiguità permette ai responsabili degli attacchi malevoli di variare i confini delle richieste, generando così attacchi di tipo request smuggling che sono in grado di minare l’integrità di intere applicazioni web e dell’infrastruttura che le supporta. Le differenze nell’interpretazione delle richieste HTTP da parte di server e sistemi proxy diversi vengono sfruttate da questi attacchi, i quali consentono agli attaccanti di inserire richieste dannose che appaiono come legittime ai sistemi di sicurezza, ma che in realtà eseguono operazioni dannose sui server di back-end.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Le versioni successive di HTTP/2 rimuovono sostanzialmente ogni ambiguità fondamentale, di fatto rendendo molto difficili gli attacchi di desincronizzazione. Gli esperti di sicurezza però evidenziano che l’attivazione di HTTP/2 soltanto sui server edge risulta essere insufficiente. Fondamentale è invece l’attuazione di HTTP/2 nelle connessioni dirette ai server di origine attraverso i proxy inversi, in quanto permangono molte vulnerabilità causate dalla costante dipendenza da HTTP/1.1.
PortSwigger ha lanciato un’iniziativa completa intitolata “HTTP/1.1 Must Die: The Desync Endgame”, esortando le organizzazioni ad abbandonare il protocollo vulnerabile. La ricerca include raccomandazioni pratiche per l’implementazione immediata, tra cui l’abilitazione del supporto HTTP/2 upstream e la garanzia che i server di origine possano gestire il protocollo più recente.
Per le organizzazioni che dipendono ancora da HTTP/1.1, i ricercatori raccomandano di implementare le funzionalità di convalida e normalizzazione delle richieste disponibili sui sistemi front-end, di valutare la disattivazione del riutilizzo della connessione upstream e di collaborare attivamente con i fornitori in merito alle tempistiche del supporto HTTP/2.
Questa vulnerabilità interessa un ampio spettro di infrastrutture web, dai singoli siti web ai principali provider CDN, evidenziando l’urgente necessità di un’adozione a livello di settore dei moderni protocolli HTTP per garantire la sicurezza web.
RedazioneUna falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...
Il cybercrime è sempre da condannare. Che tu colpisca una multinazionale o un piccolo negozio online, resta un crimine. Ma quando prendi di mira ospedali, associazioni senza scopo di lucro, fonda...
Un nuovo firmware personalizzato per il dispositivo multiuso Flipper Zero, è capace di eludere molti dei sistemi di sicurezza con codice variabile, implementati nella maggioranza dei veicoli di u...
Negli ultimi mesi, il dibattito sull’intelligenza artificiale ha assunto toni sempre più estremi. Da un lato, le grandi aziende che sviluppano e vendono soluzioni AI spingono narrazioni ap...
L’utilizzo di Linux su desktop e laptop aziendali continua a crescere. Un’analisi di quasi 18,5 milioni di dispositivi ha rilevato che la quota di Linux sui dispositivi aziendali è ...
