HTTPに関するセキュリティリスクについて(その6)
前回の記事「 CORS(Cross-Origin Resource Sharing)について」
HTTPのバージョン遷移とQUICについて
HTTPは初期のHTTP/0.9からさまざまな拡張や標準化が進められ、1997年にHTTPで最初に標準化されたバージョンであるHTTP/1.1が公開されました。
現在では既にリリースされているHTTP/3の標準化が進められています。
HTTPのリリース表
HTTP/2はHTTP通信にも対応していますが、現在の主要ブラウザがTLSによる暗号化が行われたHTTPS通信上でしかHTTP/2の利用に対応していないため、ほぼHTTPSの暗号化通信を必須としています。
(デフォルトポートはHTTPが80番、HTTPSが443番でHTTP/1.1と共通)
HTTPのどのバージョンが利用されているかを利用者が意識することはありませんが、実際にブラウザで確認することができます。
Chromeの場合は、「設定→その他ツール→デベロッパツール」かF12を押すと表示されるツールウィンドウで「Network」タブの「Protocol」項目に”http/1.1”、“h2”、“h3” などが表示されます。
(「Protocol」項目が表示されていない場合は、右クリックで表示項目を追加できます)
例:google.com(抜粋)
例:yahoo.com(抜粋)
※ h3-Q050 はGoogle版のQUICです
現在の各バージョンの利用状況は、Q-successの調査のページでほぼリアルタイムで表示されています。
HTTP/2とHTTP/3の利用状況(2021年12月1日時点)
◇ QUICについて
Googleが開発したプロトコルで「Quick
UDP Internet Connections」の略です。
従来のWeb通信ではTCPとTLSを使ってセキュアな通信を確立していましたが、QUICはUDPを利用しTLSをQUICの一部に取り入れることで通信の高速化と効率化、セキュアな通信を実現しています。
HTTP over QUIC としてIETFで仕様の作成が進められていましたが、2018年にHTTP/3に改称してリリースされました。
(HTTP/2もGoogleのSPDY技術が基盤になっていました)
その後、QUICは2021年5月にIETFにより「RFC 9000」として承認され新たなインターネット標準になりました。
また、マイクロソフトはQUICをファイル共有プロトコルであるSMBのトランスポート層に用いた「SMB over QUIC」を開発中です。
今後、さまざまなプロトコルのトランスポート層プロトコルとして使われることが期待されます。まもなくHTTP/3の標準化も完了する見通しということなので、今まで以上に安全で高速なWeb環境が構築されていくと考えられます。
プロトコルレベルでセキュリティが強化されつつも、開発者の設定ミスやシステムの脆弱性をついた攻撃はどんどん形を変えて登場してくるので、一つの方法で安心せずにさまざまな角度から安全なWebアプリケーションを作っていく必要があります。
おわり。
その他、情報セキュリティに関する記事リンク
国家資格になった情報処理安全確保支援士を会社に所属させるメリットについて考える
情報処理技術者試験の勉強まとめ記事一覧はこちら↓
【情報処理技術者試験に役立つ!】用語と解説をまとめたリンク集(PDFデータ付き)
投稿
0 件のコメント:
コメントを投稿