Passa al contenuto principale

12. Considerazioni sulla sicurezza, considerazioni IANA, riferimenti

12. Considerazioni sulla sicurezza, considerazioni IANA, riferimenti (Security, IANA Considerations, References)

12.1. Considerazioni sulla sicurezza (Security Considerations)

I problemi di sicurezza legati all'implementazione di librerie di compressione dati senza perdita riguardano tipicamente overflow di buffer, analisi/validazione di flussi o problemi di consumo di risorse.

Overflow di buffer (Buffer Overflows)

Le routine di decompressione non possono garantire la dimensione dei dati dopo la decompressione poiché qualsiasi byte dei dati compressi può essere decompresso più volte durante la decompressione. Pertanto, per evitare un output anormalmente grande, le routine di decompressione NON DEVONO (MUST NOT) scrivere in buffer di memoria di dimensioni fisse o in output di dimensioni file fisse.

Per le implementazioni del formato brotli, può essere appropriato scrivere in un buffer di dimensioni fisse. In questo caso, qualsiasi output che supera il buffer DEVE (MUST) essere scartato e DEVE (MUST) essere restituito un errore.

Attacchi per consumo di risorse (Resource Consumption Attacks)

Le implementazioni che non sanificano i dati di input possono essere indotte a consumare risorse eccessive (CPU, RAM, disco) durante la decompressione di dati compressi creati intenzionalmente da un attaccante.

Attacchi side-channel (Side-Channel Attacks)

L'uso della compressione brotli in determinati contesti può esporre ad attacchi side-channel. Se informazioni sensibili e informazioni controllate da un attaccante sono presenti nello stesso flusso compresso, la lunghezza del flusso compresso può consentire di dedurre parte delle informazioni sensibili. Questo può verificarsi anche se il flusso è crittografato tramite HTTPS, ad esempio.

12.2. Considerazioni IANA (IANA Considerations)

Il sotto-registro "HTTP Content Coding Registry" nel registro "Hypertext Transfer Protocol (HTTP) Parameters" (http://www.iana.org/assignments/http-parameters) è stato aggiornato come segue:

Nome (Name)Descrizione (Description)Riferimento (Reference)
brFormato dati compressi Brotli (Brotli Compressed Data Format)RFC 7932

12.3. Riferimenti normativi (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, http://www.rfc-editor.org/info/rfc2119.

  • [LZ77] Ziv, J. and A. Lempel, "A Universal Algorithm for Sequential Data Compression", IEEE Transactions on Information Theory, Vol. 23, No. 3, pp. 337-343, DOI 10.1109/TIT.1977.1055714, May 1977.

12.4. Riferimenti informativi (Informative References)

  • [HUFFMAN] Huffman, D., "A Method for the Construction of Minimum-Redundancy Codes", Proceedings of the IRE, Vol. 40, Issue 9, pp. 1098-1101, DOI 10.1109/JRPROC.1952.273898, September 1952.

  • [RFC1951] Deutsch, P., "DEFLATE Compressed Data Format Specification version 1.3", RFC 1951, DOI 10.17487/RFC1951, May 1996, http://www.rfc-editor.org/info/rfc1951.

  • [RFC7231] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content", RFC 7231, DOI 10.17487/RFC7231, June 2014, http://www.rfc-editor.org/info/rfc7231.

Fonte (Source): RFC 7932, Sections 12-14
Testo ufficiale (Official Text): https://www.rfc-editor.org/rfc/rfc7932.txt

Ultimo aggiornamento il