Aller au contenu principal

7.2.7. Collision d’étiquette de signature propre à l’application

7.2.7. Collision d’étiquette de signature propre à l’application

Plusieurs applications et protocoles peuvent appliquer des signatures HTTP sur le même message simultanément. C’est même une fonctionnalité souhaitable dans de nombreux cas ; voir la section 4.3. Un vérificateur naïf pourrait se tromper en traitant plusieurs signatures, acceptant ou rejetant un message sur la base d’une signature sans rapport ou non pertinente. Pour aider une application à sélectionner les signatures qui s’appliquent à son propre traitement, l’application peut déclarer une valeur précise pour le paramètre de signature tag, tel que défini à la section 2.3. Par exemple, une signature ciblant une passerelle d’application pourrait exiger tag="app-gateway" dans les paramètres de signature de cette application.

L’usage du paramètre tag n’empêche pas un attaquant d’utiliser la même valeur que l’application cible, puisque la valeur du paramètre est publique et sinon non restreinte. En conséquence, un vérificateur ne devrait utiliser la valeur du paramètre tag que pour limiter les signatures à vérifier. Chaque signature doit encore être examinée par le vérificateur pour s’assurer qu’une couverture suffisante est fournie, comme indiqué à la section 7.2.1.

Dernière mise à jour le