Zum Hauptinhalt springen

7.1.1. Skipping Signature Verification (Verifikation überspringen)

7.1.1. Skipping Signature Verification (Überspringen der Signaturverifikation)

HTTP-Nachrichtensignaturen liefern nur dann Sicherheit, wenn der Verifizierende die Signatur tatsächlich prüft. Die Nachricht bleibt ohne die Felder Signature und Signature-Input eine gültige HTTP-Nachricht; der Verifizierende kann das Ergebnis der Verifikation ignorieren und die Nachricht dennoch verarbeiten. Gründe können gelockerte Anforderungen in der Entwicklung oder temporäre Aussetzung der Durchsetzung beim Debuggen sein. Solche Aussetzungen sind bei rein positiven Tests schwer zu erkennen, da eine gute Signatur stets eine gültige Antwort auslöst, unabhängig davon, ob geprüft wurde.

Verifizierende sollten daher mit gültigen und ungültigen Signaturen getestet werden, sodass ungültige Signaturen erwartungsgemäß fehlschlagen.

Letztes Update am