FastCGI : 30 ans et toujours le meilleur protocole pour proxies
Original : FastCGI: 30 years old and still the better protocol for reverse proxies
Pourquoi c'est important
Révèle des failles de sécurité majeures dans l'architecture web moderne
Andrew Ayer explique pourquoi FastCGI, protocole vieux de 30 ans, reste supérieur à HTTP pour la communication proxy-backend. Il évite les vulnérabilités de désynchronisation HTTP qui affectent Discord et autres services.
Un expert en sécurité argue que FastCGI, dont les spécifications ont 30 ans aujourd'hui, surpasse HTTP pour les proxies inverses. HTTP/1.1 souffre d'ambiguïtés de parsing qui causent des attaques de désynchronisation comme celle récemment découverte chez Discord. FastCGI évite ces problèmes grâce à un framing explicite des messages depuis 1996. Le protocole s'intègre facilement avec Apache, Caddy, nginx et HAProxy. En Go, il suffit d'importer net/http/fcgi et remplacer http.Serve par fcgi.Serve. James Kettle, chercheur en sécurité, a déclaré que "HTTP/1.1 doit mourir" après avoir découvert de nouvelles vulnérabilités l'an dernier.