Circa un mese fa Mozilla ha rilasciato la versione 37.0 del browser Firefox introducendo il supporto ad una vera e propria rivoluzione nel protocollo HTTP: il pieno supporto all’HTTP/2. Ovviamente quando si introduce delle novità appena nate è normale incappare in bug e Mozilla ha subito reagito fixando il suo browser con la versione 37.0.1.
Ma che cos’è HTTP/2? E’ la nuova versione del celebre HTTP/1 (HyperText Transfer Protocol), che non riceveva modifiche da ben 16 anni, e che finalmente porterà una vera e propria novità nell’uso del Web. HTTP/2 implementa già le piccole novità introdotte in HTTP/1.1, ovvero una versione custom del protocollo SPDY sviluppato da Google che consente una ottimizzazione del trasferimento dati per sovraccaricare meno i server web durante il caricamento delle pagine, ma le vere e proprie innovazioni sono nel supporto del protocollo di crittografia TLS, che inizialmente doveva essere nativo ma fu scelta l’integrazione esterna per non appesantire il protocollo, e la gestione Multiplexing delle connessioni tra Server e Client che comporterà un numero ridotto di connessioni (con HTTP versione 1 si era costretti ad effettuare ottimizzazioni del codice per non far bloccare i caricamenti delle pagine) a beneficio di carichi ridotti lato server e caricamenti decisamente più rapidi delle pagine web. Grazie a questa notevole ottimizzazione l’implementazione della crittografia sarà più semplice, meno pesante per i server e notevolmente più rapida nell’esecuzione. Insomma HTTP versione 2.0 è un protocollo pensato per l’internet di oggi e soprattutto di domani, che richiederà sempre più velocità e maggiore sicurezza.
Tornando alla patch di Firefox, il bug sfruttava una vulnerabilità nel redirect delle pagine HTTPS aggirando i processi di validazione dei certificati. Con la versione 37.0 questo bug permetteva di far riconoscere il sito come sicuro (ad esempio il sito di una banca) e, visto che il protocollo HTTPS non viene utilizzato sino all’inserimento di login e password, una volta inseriti i dati era possibile sfruttare il bug facendo un redirect ad una falsa connessione sicura con il server.
Mozilla ha scoperto il bug prima che fosse pubblico e ha prontamente corretto la falla con la nuova versione 37.0.1. Se utilizzate l’aggiornamento automatico del browser è sicuro che siete già al sicuro da questa vulnerabilità, altrimenti consigliamo vivamente di andare sul sito Mozilla e di scaricare la nuova versione.