7.2.1. Couverture insuffisante
7.2.1. Couverture insuffisante
Toute partie du message non couverte par la signature est susceptible d'être modifiée par un attaquant sans affecter la signature. Un attaquant peut en tirer parti en introduisant ou modifiant un champ d'en-tête ou un autre composant du message qui changera le traitement du message mais ne sera pas couvert par la signature. Un tel message altéré passerait encore la vérification de signature, mais lorsque le vérificateur traite le message dans son ensemble, le contenu non signé injecté par l'attaquant court-circuiterait la confiance véhiculée par la signature valide et modifierait le résultat du traitement du message.
Pour lutter contre cela, une application de la présente spécification devrait exiger qu'autant que possible du message soit signé, dans les limites de l'application et du déploiement. Le vérificateur ne devrait faire confiance qu'aux composants du message qui ont été signés. Les vérificateurs pourraient aussi retirer toute partie non signée sensible du message avant que le traitement du message ne se poursuive.