La especificación del protocolo HTTP tiene ya más de 8 años, y es ahora, cuando se empieza a trabajar en la seguridad asociada a este protocolo, con la creación de un borrador por parte del IETF.

Los problemas que van a tratar son los mecanismos de seguridad asociados al HTTP o la falta de ellos.

Entre otros podemos ver:

  • Autenticación HTTP a través de claves de sesión en cookies y formularios HTML.
  • Susceptibilidad de las cookies a todo tipo de ataques por parte de intermediarios y mirones.
  • Autenticación básica, digest y otros esquemas basados en la capa de transporte.
  • Esquemas de autenticación basados en tickets centralizados.
  • Web Services. (protocolos basados en XML)
  • Posible revisión del protocolo HTTP en un futuro.


Ya hablamos de esto anteriormente, la seguridad en la capa de transporte proporcionada a los protocolos de nivel más alto, como HTTP, o lo que es lo mismo, HTTPS, no es suficiente para los riesgos que existen actualmente en las aplicaciones web.

Este documento cubrirá los mecanismos de seguridad de HTTP como una combinación del transporte seguro y la autenticación de acceso. Su objetivo será concluir con un documento de "Recomendación de las mejores prácticas actuales de la seguridad HTTP".
Hay que ver que en la actualidad se trata únicamente de un borrador inicial y está incompleto. Pero al menos, son buenas noticias, ya que se está trabajando en ello para que tarde o temprano se empiece a implementar. Puede que no sea todo lo que necesitamos, pero al menos es más de lo que tenemos actualmente.

Borrador Security Requirements for HTTP:
http://www.ietf.org/internet-drafts/draft-ietf-httpbis-security-properties-00.txt

Emilio Casbas
S21sec labs