Passa al contenuto principale

5. Considerazioni sulla sicurezza

Quando si definisce un nuovo tipo di problema, le informazioni incluse devono essere attentamente esaminate. Allo stesso modo, quando si genera effettivamente un problema -- comunque sia serializzato -- i dettagli forniti devono essere anch'essi esaminati.

I rischi includono la divulgazione di informazioni che possono essere sfruttate per compromettere il sistema, l'accesso al sistema o la privacy degli utenti del sistema.

I generatori che forniscono link alle informazioni sull'occorrenza sono incoraggiati a evitare di rendere disponibili dettagli di implementazione come un dump dello stack attraverso l'interfaccia HTTP, poiché ciò può esporre dettagli sensibili dell'implementazione del server, i suoi dati e così via.

Il membro status duplica le informazioni disponibili nel codice di stato HTTP stesso, portando così la possibilità di disaccordo tra i due. La loro precedenza relativa non è chiara, poiché un disaccordo potrebbe indicare che (ad esempio) un intermediario ha modificato il codice di stato HTTP in transito (ad es., tramite un proxy o una cache).

Come tale, coloro che definiscono tipi di problema così come i generatori e i consumatori di problemi devono essere consapevoli che il software generico (come proxy, bilanciatori di carico, firewall e scanner di virus) difficilmente conoscerà o rispetterà il codice di stato trasmesso in questo membro.

Ultimo aggiornamento il