Hacker News 의견

• 해당 이슈를 최근에 Bandit에서 해결함

  • 한 달 전 Bandit에서 같은 문제를 해결했다는 개인적인 경험.
  • 링크를 통해 구체적인 코드 위치 제공.
  • 구현자의 관점에서 이 문제는 매우 명백하며, 다른 구현체들도 이미 방어책을 마련했을 것으로 생각했음.
  • 그러나 수십 개의 구현체를 확인한 결과, 심지어 주요 HTTP/2 서버들에서도 이러한 보호 장치가 없거나 잘못 구현되어 있었음.

• 개발 문화에 대한 비판

  • 개발자들이 자동으로 동적으로 확장되는 것에 너무 익숙해져서, 어떤 것이 얼마나 커질 수 있는지에 대해 생각하지 않는 문화가 문제라고 지적.
  • 이러한 문제는 HTTP/2에만 국한되지 않지만, HTTP/2의 복잡성이 문제를 더욱 악화시킬 수 있음.
  • 과거 HTTP/1.x 시절에는 C 같은 언어를 사용하며 버퍼 길이 관리에 지속적인 주의가 필요했고, 요청 헤더 할당을 무한정 확장하는 일은 없었음.

• 영향을 받지 않는 서버/리버스 프록시 목록

  • 이전 기사에서 언급된 영향을 받지 않는 웹 서버 및 리버스 프록시 목록.
  • Nginx, Jetty, HAProxy, NetScaler, Varnish 등이 영향을 받지 않음.

• HTTP/1.1의 안전성에 대한 고민

  • 저희 사이트가 하루 종일 주목을 받았다고 언급.
  • 저희 사이트의 트래픽이 적은 경우, HTTP/1.1을 사용하는 것이 더 안전한지에 대한 의문 제기.

• 저자에 대한 칭찬

  • 저자가 넓은 시야로 접근하고, 발견한 내용을 책임감 있게 보고하며, 읽기 쉬운 방식으로 공유한 것에 대한 칭찬.

• Slowloris v2에 대한 언급

  • 이 문제를 천천히 발생시키면 'slowloris v2'라고 부를 수 있을 것이라는 농담.

• 오타에 대한 언급

  • 'serveral retries'라는 오타를 재미있어 함.

• HTTP/2에 대한 비판적인 시각

  • HTTP/2를 어떻게 애플리케이션 계층 프로토콜에 '업그레이드'를 위한 전송 계층으로 밀어넣을 수 있는지에 대한 비판.