Aller au contenu principal

6. Security Considerations (considérations de sécurité)

Cette spécification n'ajoute que la découverte des Content Codings pris en charge et le diagnostic des échecs dus à des Content Codings non pris en charge. Elle n'introduit donc pas de nouvelles considérations de sécurité au-delà de celles déjà présentes dans HTTP/1.1 (section 9 de [RFC7231]) et HTTP/2 (section 10 de [RFC7540]).

Toutefois, le but d'une meilleure découvrabilité et de diagnostics est de faciliter l'usage des Content Codings dans les requêtes. Cela peut accroître l'usage de codages de compression tels que gzip (section 4.2 de [RFC7230]) ; sur un canal sécurisé, cela peut permettre des attaques par canal auxiliaire telles que BREACH (voir la section 10.6 de [RFC7540] et [BREACH]). Au moment de la publication, il n'était pas clair comment des attaques de type BREACH pourraient s'appliquer à la compression dans les requêtes HTTP.

Dernière mise à jour le