Passa al contenuto principale

7.2.7. Collisione del tag di firma specifico dell'applicazione (Collision of Application-Specific Signature Tag)

7.2.7. Collisione del tag di firma specifico dell'applicazione (Collision of Application-Specific Signature Tag)

Più applicazioni e protocolli potrebbero applicare firme HTTP sullo stesso messaggio simultaneamente. Infatti, questa è una funzionalità desiderata in molte circostanze; si veda la Sezione 4.3. Un verificatore ingenuo potrebbe confondersi elaborando più firme, accettando o rifiutando un messaggio in base a una firma non correlata o irrilevante. Per aiutare un'applicazione a selezionare quali firme si applicano alla propria elaborazione, l'applicazione può dichiarare un valore specifico per il parametro di firma tag come definito nella Sezione 2.3. Ad esempio, una firma rivolta a un gateway applicativo potrebbe richiedere tag="app-gateway" come parte dei parametri di firma per quell'applicazione.

L'uso del parametro tag non impedisce a un attaccante di usare anche lo stesso valore dell'applicazione bersaglio, poiché il valore del parametro è pubblico e altrimenti non restrittivo. Di conseguenza, un verificatore dovrebbe usare un valore del parametro tag solo per limitare quali firme controllare. Ogni firma deve ancora essere esaminata dal verificatore per garantire che sia fornita copertura sufficiente, come discusso nella Sezione 7.2.1.

Ultimo aggiornamento il