Aller au contenu principal

4. Considérations de sécurité

4. Considérations de sécurité

L'une des principales préoccupations de sécurité lors de l'utilisation de Proxy-Status est la fuite d'informations qui pourraient aider un attaquant. Par exemple, des informations sur la configuration de l'intermédiaire et la topologie du backend peuvent être exposées, permettant aux attaquants de cibler directement les services backend qui ne sont pas préparés pour un volume de trafic élevé ou des entrées mal formées. Certaines informations ne peuvent être appropriées à révéler qu'aux parties autorisées.

Par conséquent, il faut faire attention lorsqu'on décide de générer un champ Proxy-Status et quelles informations y inclure. Notez que les intermédiaires ne sont pas tenus de générer un champ Proxy-Status dans aucune réponse et peuvent les générer conditionnellement en fonction des attributs de la requête (par exemple, jetons d'authentification, adresse IP).

De même, la génération de tous les paramètres est optionnelle, tout comme la génération du champ lui-même. De plus, le contenu du champ n'est pas vérifié; un intermédiaire peut prétendre effectuer certaines actions (par exemple, envoyer une requête sur un canal crypté) mais ne pas réellement le faire.

Dernière mise à jour le