Passa al contenuto principale

7.5.3. Analisi dei valori Structured Field (Parsing Structured Field Values)

7.5.3. Analisi dei valori Structured Field (Parsing Structured Field Values)

Diverse parti di questa specifica si basano sull'analisi dei valori Structured Field [STRUCTURED-FIELDS] -- in particolare la serializzazione rigorosa dei valori Structured Field HTTP (Sezione 2.1.1), il riferimento ai membri di un Dictionary Structured Field (Sezione 2.1.2) e l'elaborazione del valore @signature-input quando si verifica una firma (Sezione 3.2). Sebbene i valori Structured Field siano progettati per essere relativamente semplici da analizzare, un'implementazione ingenua o difettosa di tale parser potrebbe esporre superfici di attacco sottili nell'implementazione.

Ad esempio, se un parser difettoso del valore @signature-input non impone la chiusura corretta delle virgolette intorno ai valori stringa nell'elenco degli identificatori di componente, un attaccante potrebbe sfruttare ciò e iniettare contenuto aggiuntivo nella base della firma manipolando il valore del campo Signature-Input su un messaggio.

Per contrastare ciò, le implementazioni dovrebbero usare parser pienamente conformi e affidabili per tutta l'elaborazione Structured Field, sia lato firmatario sia lato verificatore.

Ultimo aggiornamento il