FastCGI: 30 Tahun dan Masih Unggul untuk Reverse Proxy
Judul asli: FastCGI: 30 years old and still the better protocol for reverse proxies
Mengapa Ini Penting
Menunjukkan alternatif protokol lama yang lebih aman untuk arsitektur web modern
Andrew Ayer menjelaskan protokol FastCGI berusia 30 tahun masih lebih aman dibanding HTTP untuk komunikasi reverse proxy-backend. Protokol ini menghindari kerentanan HTTP desync yang sering muncul dalam sistem proxy modern.
Peneliti keamanan terus menemukan kerentanan HTTP desync di reverse proxy, seperti bug Discord yang memungkinkan mata-mata pada lampiran pribadi. Masalahnya terletak pada penggunaan HTTP sebagai protokol antara proxy dan backend. FastCGI, yang dirilis 30 tahun lalu, menawarkan solusi lebih aman. Protokol ini bukan model proses, tetapi protokol wire yang dapat digunakan seperti HTTP dengan daemon jangka panjang. Go menyediakan dukungan melalui paket net/http/fcgi, sementara proxy populer seperti nginx, Apache, Caddy, dan HAProxy mendukung backend FastCGI. HTTP/1.1 rentan karena tidak ada framing eksplisit pesan, menyebabkan parser berbeda menginterpretasi batas pesan secara berbeda. James Kettle terus menemukan kerentanan baru dan menyatakan 'HTTP/1.1 harus mati'. HTTP/2 memperbaiki masalah ini dengan batas pesan yang jelas, namun FastCGI sudah melakukannya sejak 1996.