Aller au contenu principal

12. Considérations de sécurité, considérations IANA, références

12. Considérations de sécurité, considérations IANA, références (Security, IANA Considerations, References)

12.1. Considérations de sécurité (Security Considerations)

Les problèmes de sécurité liés à la mise en œuvre de bibliothèques de compression de données sans perte concernent généralement les débordements de tampon, l'analyse/validation de flux ou les problèmes de consommation de ressources.

Débordements de tampon (Buffer Overflows)

Les routines de décompression ne peuvent pas garantir la taille des données après décompression car n'importe quel octet des données compressées peut être décomprimé plusieurs fois pendant la décompression. Ainsi, pour éviter une sortie anormalement grande, les routines de décompression NE DOIVENT PAS (MUST NOT) écrire dans des tampons de mémoire de taille fixe ou dans des sorties de taille de fichier fixe.

Pour les implémentations du format brotli, il peut être approprié d'écrire dans un tampon de taille fixe. Dans ce cas, toute sortie qui dépasse le tampon DOIT (MUST) être rejetée et une erreur DOIT (MUST) être renvoyée.

Attaques par consommation de ressources (Resource Consumption Attacks)

Les implémentations qui n'assainissent pas les données d'entrée peuvent être amenées à consommer des ressources excessives (CPU, RAM, disque) lors de la décompression de données compressées créées intentionnellement par un attaquant.

Attaques par canal auxiliaire (Side-Channel Attacks)

L'utilisation de la compression brotli dans certains contextes peut exposer à des attaques par canal auxiliaire. Si des informations sensibles et des informations contrôlées par un attaquant sont présentes dans le même flux compressé, la longueur du flux compressé peut permettre de déduire une partie des informations sensibles. Cela peut se produire même si le flux est crypté via HTTPS, par exemple.

12.2. Considérations IANA (IANA Considerations)

Le sous-registre "HTTP Content Coding Registry" dans le registre "Hypertext Transfer Protocol (HTTP) Parameters" (http://www.iana.org/assignments/http-parameters) a été mis à jour comme suit :

Nom (Name)DescriptionRéférence (Reference)
brFormat de données compressées Brotli (Brotli Compressed Data Format)RFC 7932

12.3. Références normatives (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, http://www.rfc-editor.org/info/rfc2119.

  • [LZ77] Ziv, J. and A. Lempel, "A Universal Algorithm for Sequential Data Compression", IEEE Transactions on Information Theory, Vol. 23, No. 3, pp. 337-343, DOI 10.1109/TIT.1977.1055714, May 1977.

12.4. Références informatives (Informative References)

  • [HUFFMAN] Huffman, D., "A Method for the Construction of Minimum-Redundancy Codes", Proceedings of the IRE, Vol. 40, Issue 9, pp. 1098-1101, DOI 10.1109/JRPROC.1952.273898, September 1952.

  • [RFC1951] Deutsch, P., "DEFLATE Compressed Data Format Specification version 1.3", RFC 1951, DOI 10.17487/RFC1951, May 1996, http://www.rfc-editor.org/info/rfc1951.

  • [RFC7231] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content", RFC 7231, DOI 10.17487/RFC7231, June 2014, http://www.rfc-editor.org/info/rfc7231.

Source : RFC 7932, Sections 12-14
Texte officiel (Official Text) : https://www.rfc-editor.org/rfc/rfc7932.txt

Dernière mise à jour le