HTTP/1.1 es intrínsecamente inseguro y expone regularmente a millones de sitios web a una suplantación. Seis años de intentos de mitigación han ocultado el problema, pero no han conseguido solucionarlo. Este artículo presenta varias clases novedosas de ataques de desincronización HTTP capaces de comprometer masivamente las credenciales de los usuarios. Estas técnicas se demuestran mediante estudios de casos detallados, incluidas vulnerabilidades críticas que de expusieron decenas de millones de sitios web.