Názor k článku Útok HTTP/2 Rapid Reset umožňuje shodit web server a už se zneužívá od Ondřej Novák - Ok, tak možná jsem si to trochu rychle...

Ok, tak možná jsem si to trochu rychle nastudoval.

Ten DoS se bude týkat konkrétní implementace. Tak předpokládá, že existuje nějaký centrální alokátor prostředků, který prostě neřeší, odkud žádost přišla. Pokud tedy klient rozjedná 100 žádostí a pak spojení zruší, zahltí tento centrální alokátor, a pokud to dělá dokola, nedostane se na běžné klienty a máme ty DoS.

Trochu vidím problém ve výkladu - významu maximálního množství proudů na spojení. To je - jak chápu - hard limit, tedy klient nesmí jít přes. Ale nikdo mě jako serveru nebrání omezit klienta i na menší počet streamů, třeba na 10, pokud to udělám snížením propustnosti. Tedy pokud má klient pending 10 požadavků, tak já mu ostatní strčím do fronty a to bez ohledu na to, jestli jsou pending a byly zrušeny. Tedy pokud klient zruší celý stream a znovu pošle 100 požadavků. měl by se strčit do jeho fronty.

Ten DoS bude tedy fungovat jen pokud server má globální frontu. Tam skutečně může útočník frontu zahltit.