4. Security Considerations (Sicherheitsüberlegungen)

Eines der Hauptsicherheitsanliegen bei der Verwendung von Proxy-Status ist das Durchsickern von Informationen, die einem Angreifer helfen könnten. Beispielsweise können Informationen über die Konfiguration des Vermittlers und die Backend-Topologie offengelegt werden, wodurch Angreifer Backend-Dienste direkt angreifen können, die nicht auf hohes Verkehrsaufkommen oder fehlerhaft formatierte Eingaben vorbereitet sind. Einige Informationen sind möglicherweise nur für autorisierte Parteien geeignet.

Daher muss bei der Entscheidung, ob ein Proxy-Status-Feld generiert werden soll und welche Informationen darin enthalten sein sollen, Vorsicht walten gelassen werden. Beachten Sie, dass Vermittler nicht verpflichtet sind, in irgendeiner Antwort ein Proxy-Status-Feld zu generieren, und sie können sie bedingt basierend auf Anforderungsattributen (z.B. Authentifizierungstoken, IP-Adresse) generieren.

Ebenso ist die Generierung aller Parameter optional, ebenso wie die Generierung des Feldes selbst. Außerdem wird der Inhalt des Feldes nicht verifiziert; ein Vermittler kann bestimmte Aktionen behaupten (z.B. das Senden einer Anfrage über einen verschlüsselten Kanal), diese aber tatsächlich nicht ausführen.

4. Security Considerations (Sicherheitsüberlegungen)​

4. Security Considerations (Sicherheitsüberlegungen)