HTTP (HyperText Transfer Protocol) — это основной протокол передачи данных в интернете. Через него браузеры и серверы обмениваются информацией: страницы, изображения, скрипты и любой другой веб-контент доставляются именно по этому протоколу. Подробнее о том, как он устроен, можно прочитать в документации MDN Web Docs.
Версия протокола определяет не только скорость загрузки страниц, но и то, какие заголовки безопасности поддерживаются соединением. Устаревшие версии не умеют работать с современными механизмами защиты: они не поддерживают нужные заголовки, не могут корректно обрабатывать шифрование и часто игнорируют ограничения, которые есть в актуальных стандартах. Это создаёт уязвимости, которыми могут воспользоваться злоумышленники.
Для владельца сайта это означает, что запросы по устаревшим версиям протокола несут дополнительный риск. Даже если такие запросы приходят редко, они могут быть частью разведки или попытки эксплуатации известных уязвимостей старых реализаций. Поэтому контроль над тем, по каким версиям протокола принимаются запросы, является частью грамотной защиты сервера. Подробнее об эволюции протокола можно прочитать на странице Evolution of HTTP на MDN.
Большинство современных браузеров работают по HTTP/1.1, HTTP/2 или HTTP/3.
HTTP/1.0 почти не используется реальными пользователями, но встречается:
HTTP/1.0 не поддерживает современные технологии защиты, поэтому может использоваться злоумышленниками для обхода фильтров и атак на сервер.
BotBlocker позволяет блокировать любые запросы по HTTP/1.0, потому что:
Когда блокировка активирована, BotBlocker проверяет версию протокола при каждом входящем запросе. Если запрос пришёл по HTTP/1.0, он отклоняется до того, как попадёт в основную логику сайта. Это значит, что нагрузка на сервер снижается, а количество нежелательных обращений уменьшается без каких-либо дополнительных настроек. При этом все запросы по актуальным версиям протокола обрабатываются в штатном режиме, без задержек.
Блокировка работает на уровне входящего трафика, поэтому её можно использовать совместно с другими инструментами защиты BotBlocker, не беспокоясь о конфликтах правил.
Блокировка HTTP/1.0 в BotBlocker по умолчанию выключена, чтобы не навредить совместимости. При необходимости её можно включить.
Перед включением блокировки имеет смысл посмотреть логи сервера. В них фиксируется версия протокола для каждого запроса. Если вы видите регулярные обращения по HTTP/1.0, особенно с одинаковых IP-адресов или с подозрительными user-agent строками, это сигнал к действию. Анализ логов займёт несколько минут, но даст чёткое понимание того, насколько актуальна эта мера для вашего конкретного сайта.
Если таких запросов нет или их единицы, блокировку всё равно можно включить в профилактических целях. Вреда она не принесёт, а уровень защиты немного повысится.
Повлияет ли блокировка HTTP/1.0 на обычных пользователей?
Вряд ли — современные браузеры работают по 1.1 и выше. Но если вы обслуживаете старое ПО, убедитесь в его совместимости.
Нужен ли HTTP/2 или HTTP/3?
Нет, это не обязательно, но рекомендуется для повышения скорости и безопасности.
Как включить блокировку?
В настройках BotBlocker есть опция для запрета HTTP/1.0-запросов.
Может ли блокировка HTTP/1.0 нарушить работу API или внешних сервисов?
Теоретически да, если сторонний сервис использует устаревший клиент. На практике это редкость. Перед включением проверьте, какие внешние сервисы обращаются к вашему сайту и по каким версиям протокола они работают. Это можно сделать через логи или инструменты мониторинга трафика.
Есть ли официальная спецификация HTTP/1.0?
Да, она описана в RFC 2616 на сайте W3C. Там можно увидеть, насколько ограничены возможности этой версии по сравнению с актуальными стандартами.
