7. Considérations de sécurité

Les considérations de sécurité de [RFC7049] s'appliquent ; une attention particulière est attirée sur le deuxième paragraphe de la Section 8 de [RFC7049].

L'étiquette pour les tableaux homogènes fait une promesse au sujet du data item qu'elle étiquette, qu'une entrée CBOR construite de façon malveillante peut alors choisir d'ignorer. Comme toujours, le décodeur doit donc s'assurer qu'il n'est pas poussé dans un état indéfini par des éléments de tableau qui ne satisfont pas la promesse, et qu'il continue à satisfaire son contrat d'API dans ce cas également.

Comme pour tous les formats utilisés pour l'échange de données, un attaquant peut contrôler la forme des données livrées en entrée de l'application, qui doit donc valider cette forme avant d'en faire la base de son traitement ultérieur. Un aspect particulier que les tableaux typés ajoutent ici est qu'un attaquant pourrait substituer un Uint8ClampedArray à l'endroit où l'application attend un Uint8Array, ou inversement, ce qui pourrait conduire à des sémantiques de traitement très différentes (et inattendues) des structures de données en mémoire construites. Les applications qui pourraient être affectées devront donc faire attention à établir cette distinction dans leur validation d'entrée.

7. Considérations de sécurité​

7. Considérations de sécurité