Aller au contenu principal

7. Considérations de sécurité (Security Considerations)

7.1. 428 Condition préalable requise (Precondition Required)

Le code d'état 428 est optionnel; les clients ne peuvent pas compter sur son utilisation pour éviter les conflits de "mise à jour perdue".

7.2. 429 Trop de requêtes (Too Many Requests)

Lorsqu'un serveur est attaqué ou reçoit simplement un très grand nombre de requêtes d'une seule partie, répondre à chacune avec un code d'état 429 consommera des ressources.

Par conséquent, les serveurs ne sont pas tenus d'utiliser le code d'état 429; lors de la limitation de l'utilisation des ressources, il peut être plus approprié de simplement interrompre les connexions ou de prendre d'autres mesures.

7.3. 431 Champs d'en-tête de requête trop grands (Request Header Fields Too Large)

Les serveurs ne sont pas tenus d'utiliser le code d'état 431; en cas d'attaque, il peut être plus approprié de simplement interrompre les connexions ou de prendre d'autres mesures.

7.4. 511 Authentification réseau requise (Network Authentication Required)

Dans l'usage courant, une réponse portant le code d'état 511 ne proviendra pas du serveur d'origine indiqué dans l'URL de la requête. Cela présente de nombreux problèmes de sécurité; par exemple, un intermédiaire attaquant peut insérer des cookies dans l'espace de noms du domaine d'origine, peut observer les cookies ou les identifiants d'authentification HTTP envoyés depuis l'agent utilisateur, etc.

Cependant, ces risques ne sont pas propres au code d'état 511; en d'autres termes, un portail captif qui n'utilise pas ce code d'état introduit les mêmes problèmes.

Notez également que les portails captifs utilisant ce code d'état sur une connexion Secure Socket Layer (SSL) ou Transport Layer Security (TLS) (généralement le port 443) généreront une erreur de certificat sur le client.

Dernière mise à jour le