Aller au contenu principal

7. Considérations de sécurité (Security Considerations)

7.1. Fiabilité et cohérence (Reliability and Consistency)

La fiabilité des URI dépend de l'intention et de l'implémentation du propriétaire de la ressource.

7.2. Construction malveillante (Malicious Construction)

Les attaquants peuvent construire des URI malveillants pour :

Exploiter les vulnérabilités de l'analyseur
Contourner les vérifications de sécurité
Exécuter des attaques par injection

7.3. Transcodage back-end (Back-End Transcoding)

Les conversions de codage de caractères peuvent introduire des vulnérabilités de sécurité.

7.4. Formats d'adresse IP rares (Rare IP Address Formats)

Certains formats d'adresse IP peuvent être utilisés pour l'usurpation d'identité.

7.5. Informations sensibles (Sensitive Information)

Avertissement : N'incluez pas d'informations sensibles (telles que des mots de passe) dans les URI, car :

Les URI peuvent être enregistrés dans les journaux
Les URI peuvent apparaître dans les en-têtes de référence
Les URI peuvent être mis en cache

7.6. Attaques sémantiques (Semantic Attacks)

Des caractères visuellement similaires peuvent être utilisés pour tromper les utilisateurs.

Exemples :

Le « а » cyrillique ressemble au « a » latin
example.com vs examp1e.com (l vs 1)

Chapitre suivant : 8. Considérations IANA (IANA Considerations) - Enregistrement de schéma URI

7.1. Fiabilité et cohérence (Reliability and Consistency)
7.2. Construction malveillante (Malicious Construction)
7.3. Transcodage back-end (Back-End Transcoding)
7.4. Formats d'adresse IP rares (Rare IP Address Formats)
7.5. Informations sensibles (Sensitive Information)
7.6. Attaques sémantiques (Semantic Attacks)