Passa al contenuto principale

10.5. Downgrade Attack (Attacco di downgrade)

10.5. Downgrade Attack (Attacco di downgrade)

Se il protocollo non è vincolato a JAR, un attaccante può usare richieste RFC 6749 per aggirare le protezioni. Questa specifica definisce require_signed_request_object (booleano) nei metadati client e server.

Se true nei metadati client, il server DEVE rifiutare richieste non conformi e richieste con alg none quando il valore server è true. Predefinito false se omesso.

Se true nei metadati server, il server DEVE rifiutare richieste non conformi e con alg none. Predefinito false se omesso.

Senza questi metadati, il client PUÒ comunque usare Request Object firmati se esistono algoritmi comuni; vedere sezione 4.

Ultimo aggiornamento il