Zum Hauptinhalt springen

11. Sicherheitsüberlegungen (Security Considerations)

Dieser Abschnitt soll Entwickler, Informationsanbieter und Benutzer über bekannte Sicherheitsüberlegungen im Zusammenhang mit der HTTP-Nachrichtensyntax und -Analyse informieren.

11.1. Response-Splitting

Response-Splitting (auch bekannt als CRLF-Injektion) ist eine gängige Technik, die in verschiedenen Angriffen auf die Webnutzung verwendet wird und die zeilenbasierte Natur des HTTP-Nachrichtenrahmens und die geordnete Zuordnung von Anfragen zu Antworten bei persistenten Verbindungen ausnutzt [Klein].

11.2. Request-Smuggling

Request-Smuggling ([Linhart]) ist eine Technik, die Unterschiede beim Protokoll-Parsing zwischen verschiedenen Empfängern ausnutzt, um zusätzliche Anfragen (die andernfalls durch Richtlinien blockiert oder deaktiviert werden könnten) in einer scheinbar harmlosen Anfrage zu verbergen.

11.3. Nachrichtenintegrität (Message Integrity)

HTTP definiert keinen spezifischen Mechanismus zur Gewährleistung der Nachrichtenintegrität und verlässt sich stattdessen auf die Fehlererkennungsfähigkeit der zugrunde liegenden Transportprotokolle.

11.4. Nachrichtenvertraulichkeit (Message Confidentiality)

HTTP verlässt sich auf zugrunde liegende Transportprotokolle, um bei Bedarf Nachrichtenvertraulichkeit bereitzustellen. Das "https"-Schema kann verwendet werden, um Ressourcen zu identifizieren, die eine vertrauliche Verbindung erfordern.

Letztes Update am