Passa al contenuto principale

11. Considerazioni sulla sicurezza (Security Considerations)

Questa sezione ha lo scopo di informare sviluppatori, fornitori di informazioni e utenti sulle considerazioni di sicurezza note relative alla sintassi e all'analisi dei messaggi HTTP.

11.1. Divisione della risposta (Response Splitting)

La divisione della risposta (nota anche come iniezione CRLF) è una tecnica comune utilizzata in vari attacchi all'uso del Web, che sfrutta la natura basata sulle righe del framing dei messaggi HTTP e l'associazione ordinata di richieste e risposte su connessioni persistenti [Klein].

11.2. Contrabbando di richieste (Request Smuggling)

Il contrabbando di richieste ([Linhart]) è una tecnica che sfrutta le differenze nell'analisi del protocollo tra vari destinatari per nascondere richieste aggiuntive (che potrebbero altrimenti essere bloccate o disabilitate dalla policy) all'interno di una richiesta apparentemente innocua.

11.3. Integrità dei messaggi (Message Integrity)

HTTP non definisce un meccanismo specifico per garantire l'integrità dei messaggi, affidandosi invece alla capacità di rilevamento degli errori dei protocolli di trasporto sottostanti.

11.4. Riservatezza dei messaggi (Message Confidentiality)

HTTP si affida ai protocolli di trasporto sottostanti per fornire la riservatezza dei messaggi quando desiderato. Lo schema "https" può essere utilizzato per identificare risorse che richiedono una connessione riservata.

Ultimo aggiornamento il