8.3. Oracles

8.3. Oracles

Il importe d’équilibrer le besoin de fournir aux développeurs des retours utiles sur les conditions d’erreur sans fournir d’informations supplémentaires à un attaquant. Par exemple, une implémentation serveur naïve mais serviable pourrait tenter d’indiquer l’identifiant de clé requis pour demander une ressource. Si l’on sait qui contrôle cette clé, une corrélation peut être établie entre l’existence de la ressource et la partie identifiée par la clé. L’accès à de telles informations pourrait être utilisé par un attaquant pour cibler le propriétaire légitime de la ressource dans le cadre d’attaques ultérieures.