Zum Hauptinhalt springen

12. Sicherheitserwägungen, IANA-Erwägungen, Referenzen

12. Sicherheitserwägungen, IANA-Erwägungen, Referenzen (Security, IANA Considerations, References)

12.1. Sicherheitserwägungen (Security Considerations)

Sicherheitsprobleme im Zusammenhang mit der Implementierung verlustfreier Datenkomprimierungsbibliotheken betreffen typischerweise Pufferüberläufe, Stream-Parsing/Validierung oder Ressourcenverbrauchsprobleme.

Pufferüberläufe (Buffer Overflows)

Dekomprimierungsroutinen können die Größe der Daten nach der Dekomprimierung nicht garantieren, da jedes Byte der komprimierten Daten während der Dekomprimierung mehrfach dekomprimiert werden kann. Um eine abnormal große Ausgabe zu vermeiden, DÜRFEN (MUST NOT) Dekomprimierungsroutinen NICHT in feste Speicherpuffer oder Ausgaben mit fester Dateigröße schreiben.

Bei Implementierungen des brotli-Formats kann es angemessen sein, in einen Puffer mit fester Größe zu schreiben. In diesem Fall MUSS (MUST) jede Ausgabe, die den Puffer überschreitet, verworfen werden, und es MUSS (MUST) ein Fehler zurückgegeben werden.

Ressourcenverbrauchsangriffe (Resource Consumption Attacks)

Implementierungen, die Eingabedaten nicht bereinigen, können dazu veranlasst werden, während der Dekomprimierung von absichtlich von einem Angreifer erstellten komprimierten Daten übermäßige Ressourcen (CPU, RAM, Festplatte) zu verbrauchen.

Seitenkanalangriffe (Side-Channel Attacks)

Die Verwendung von brotli-Komprimierung in bestimmten Kontexten kann Seitenkanalangriffen aussetzen. Wenn sensible Informationen und von einem Angreifer kontrollierte Informationen im selben komprimierten Stream vorhanden sind, kann die Länge des komprimierten Streams es ermöglichen, einen Teil der sensiblen Informationen abzuleiten. Dies kann auftreten, selbst wenn der Stream über HTTPS verschlüsselt ist, zum Beispiel.

12.2. IANA-Erwägungen (IANA Considerations)

Das Unterregister "HTTP Content Coding Registry" im Register "Hypertext Transfer Protocol (HTTP) Parameters" (http://www.iana.org/assignments/http-parameters) wurde wie folgt aktualisiert:

NameBeschreibung (Description)Referenz (Reference)
brBrotli-komprimiertes Datenformat (Brotli Compressed Data Format)RFC 7932

12.3. Normative Referenzen (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, http://www.rfc-editor.org/info/rfc2119.

  • [LZ77] Ziv, J. and A. Lempel, "A Universal Algorithm for Sequential Data Compression", IEEE Transactions on Information Theory, Vol. 23, No. 3, pp. 337-343, DOI 10.1109/TIT.1977.1055714, May 1977.

12.4. Informative Referenzen (Informative References)

  • [HUFFMAN] Huffman, D., "A Method for the Construction of Minimum-Redundancy Codes", Proceedings of the IRE, Vol. 40, Issue 9, pp. 1098-1101, DOI 10.1109/JRPROC.1952.273898, September 1952.

  • [RFC1951] Deutsch, P., "DEFLATE Compressed Data Format Specification version 1.3", RFC 1951, DOI 10.17487/RFC1951, May 1996, http://www.rfc-editor.org/info/rfc1951.

  • [RFC7231] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content", RFC 7231, DOI 10.17487/RFC7231, June 2014, http://www.rfc-editor.org/info/rfc7231.

Quelle (Source): RFC 7932, Sections 12-14
Offizieller Text (Official Text): https://www.rfc-editor.org/rfc/rfc7932.txt

Letztes Update am