Aller au contenu principal

11. Considérations de sécurité (Security Considerations)

Cette section vise à informer les développeurs, les fournisseurs d'informations et les utilisateurs des considérations de sécurité connues concernant la syntaxe et l'analyse des messages HTTP.

11.1. Division de réponse (Response Splitting)

La division de réponse (également connue sous le nom d'injection CRLF) est une technique courante utilisée dans diverses attaques contre l'utilisation du Web, qui exploite la nature ligne par ligne du cadrage des messages HTTP et l'association ordonnée des requêtes aux réponses sur les connexions persistantes [Klein].

11.2. Contrebande de requête (Request Smuggling)

La contrebande de requête ([Linhart]) est une technique qui exploite les différences d'analyse de protocole entre divers destinataires pour cacher des requêtes supplémentaires (qui pourraient autrement être bloquées ou désactivées par la politique) dans une requête apparemment inoffensive.

11.3. Intégrité des messages (Message Integrity)

HTTP ne définit pas de mécanisme spécifique pour assurer l'intégrité des messages, s'appuyant plutôt sur la capacité de détection d'erreur des protocoles de transport sous-jacents et sur l'utilisation du cadrage délimité par la longueur ou par morceaux pour détecter l'exhaustivité.

11.4. Confidentialité des messages (Message Confidentiality)

HTTP s'appuie sur les protocoles de transport sous-jacents pour fournir la confidentialité des messages lorsque cela est souhaité. Le schéma "https" peut être utilisé pour identifier les ressources qui nécessitent une connexion confidentielle, comme décrit dans la section 4.2.2 de [HTTP].

Dernière mise à jour le