Jetzt wird es wahrscheinlich langsam langweilig und damit soll es dann auch belassen werden:

http2.headers.cookie

Nach anwendung des Filters sieht man aber, dass auch andere Methoden wir POST z.B. benutzt werden und auch hier können natürlich Cookies gesendet werden.

Was aber viel interessanter ist, als das Filtern, was Sie jetzt eigentlich relativ gut beherschen sollten (das Prinzip zumindest, wenn auch die Details er einmal erkannt werden müssen), ist die Analyse des Verhaltens von HTTP2.

Wir hatten einige Dinge gesehen, die HTTP2 besser macht als HTTP1.1. Davon schauen wir uns nun einige an. Um uns auf mehrere HTTP2-Anfragen an einen Server konzentrieren zu können, filtern wir etwas genauer. Z.B. auf:

http2.headers.cookie && ip.addr == 66.117.29.11

Was bleibt sind 4 POST-Requests. Der erste davon hat eine Gesamtpaketgröße von 1257 Bytes. Schaut man in der Detailansicht des Pakets nach sieht man, dass ein Großteil davon von Cookies belegt ist. Ganze 11 Cookie-Paare befinden sich in dem Paket. Bevor es mit der Betrachtung der Cookies weitergeht ein kurzer Hinweis auf die drei Tabs under der Hex-Ansicht. Da gibt es den Frame-Tab, den Decrypted TLS-Tab und den Decompressed Header-Tab. Der Frame-Tab zeigt die Bytes, so, wie sie verschickt wurden. Der Decrypted TLS-Tab zeigt die Bytes, nachdem der TLS-Teil entschlüsselt wurde, d.h. die Daten so wie HTTP2 sie versendet hat. Der Decompressed Header-Tab zeigt die Daten nachdem die HTTP2-Kompriemierung umgekehrt wurde. Für uns sind nur die letzen beiden Tabs von Interesse.

Zurück zu den Cookies in unserem ersten Paket. Wenn wir auf den Cookie-Header in der Paketdetailansicht klicken, dann sehen wir den Wert des Cookies, aber in der Hex-Ansicht des Pakets sehen wir den komprimierten HTTP2 Teil. Wir sehen in der Statusleiste, dass dieser 257 Byte gross ist. D.h. dieser Cookie belegt 257 Byte innerhalb des HTTP-Headers. In der ASCII-Spalte sieht man aber auch, dass hier nicht der Cookie-Wert zu sehen ist, denn der Cookie wurde komprimiert. Wenn wir die Informationen zum Cookie aufklappen, sehen wir hier wesentlich mehr Informationen dargestellt als im HTTP1.x-Fall. Hier finden wir die Header-Informationen in unkomprimierter Darstellung. Wenn Sie hier auf z.B. Value klicken, dann sehen Sie sie in der Hex-Ansicht den dargestellten Wert des Cookies. Sie sehen auch, dass dieser Wert tatsächlich 327 Bytes unkomprimiert belegt.

Wenn Sie sich nun das zweite Paket an den Server anschauen, stellen Sie gleich fest, dass das Gesamtpaket nur noch 335 Bytes groß ist. Allerdings, nach allem was wir über Cookies gelernt haben, sollten diese auch in diesem Paket zu finden sein. Wenn Sie gleich den ersten Cookie anschauen (der sehr lang ist und mit AMCV... anfängt), dann zeigt der Decrypted TLS-Tab an, dass dieser nur 1 Byte groß ist, aber im Decompressed Header-Tab wird er vollständig angezeigt. Hier sieht man, dass HTTP2 bekannte, schon gesendete Header nicht nochmals verschickt, was wieder Platz spart. In diesem Fall sogar sehr viel. Schauen sie sich auch die anderen Header-Felder an und entdecken Sie welchen noch eingespart wurden.