Passa al contenuto principale

8. Considerazioni sulla sicurezza e sulla privacy

Sicurezza dello spazio dei nomi

La definizione di uno spazio dei nomi URN deve tenere conto dei potenziali problemi di sicurezza e privacy relativi all'assegnazione, all'uso e alla risoluzione dei nomi all'interno dello spazio dei nomi URN.

Gestione dei caratteri speciali

Alcuni resolver URN potrebbero assegnare un significato speciale a determinati caratteri nell'NSS. I definitori degli spazi dei nomi devono considerare queste possibilità e fornire una guida appropriata.

Per ulteriori discussioni, vedere la sezione 6.4.4.

Dichiarazioni di informazioni pubbliche

Natura delle informazioni

Nella maggior parte dei casi, gli spazi dei nomi URN forniscono un modo per dichiarare informazioni pubbliche.

Profilo di sicurezza

Normalmente, queste dichiarazioni avranno un profilo di sicurezza relativamente basso. Questo significa:

  • Gli URN tipicamente non contengono informazioni sensibili o riservate
  • Gli URN sono utilizzati principalmente per l'identificazione pubblica delle risorse
  • La sicurezza dipende da meccanismi esterni, non dall'URN stesso

Rischi di spoofing e disinformazione

Minacce principali

Esiste sempre il pericolo di "spoofing" e di fornire informazioni errate.

Scenari di rischio

  1. URN falsi: Creazione di URN che appaiono legittimi ma sono in realtà falsi
  2. Risoluzione fuorviante: Risoluzione di URN a risorse errate o dannose
  3. Hijacking dello spazio dei nomi: Tentativi di controllare o impersonare spazi dei nomi legittimi

Misure di mitigazione

Le informazioni in queste dichiarazioni dovrebbero essere prese come consultive:

  • Non fidarsi ciecamente delle risorse puntate dagli URN
  • Utilizzare meccanismi di validazione aggiuntivi per confermare l'autenticità delle risorse
  • Le applicazioni critiche dovrebbero implementare livelli di sicurezza aggiuntivi

Considerazioni sulla privacy

Divulgazione di informazioni

Gli URN stessi possono inavvertitamente rivelare:

  • Informazioni sulla struttura organizzativa
  • Modelli di tempo di creazione delle risorse
  • Schemi di identificatori interni

Migliori pratiche

I progettisti degli spazi dei nomi dovrebbero:

  1. Evitare di includere informazioni personalmente identificabili (PII) negli URN
  2. Considerare i metadati che la struttura URN potrebbe rivelare
  3. Documentare esplicitamente eventuali implicazioni sulla privacy nelle definizioni degli spazi dei nomi

Sicurezza della trasmissione

Sebbene gli URN stessi non definiscano meccanismi di trasmissione, quando si trasmettono URN su reti, considerare:

  • L'uso di canali sicuri (ad es. TLS) per proteggere la trasmissione
  • La prevenzione della manomissione degli URN durante la trasmissione
  • La garanzia dell'integrità e della disponibilità dei servizi di risoluzione
Ultimo aggiornamento il