6. Security Considerations (セキュリティ上の考慮)

本仕様は, サポートされる Content Coding の発見と, サポートされない Content Coding による失敗の診断のみを追加する. したがって, HTTP/1.1 ([RFC7231] 第 9 節) および HTTP/2 ([RFC7540] 第 10 節) に既にあるセキュリティ上の考慮を超える新たなものは導入しない.

しかし, 発見容易性と診断の改善は, リクエストでの Content Coding の利用を容易にする. これにより gzip などの圧縮符号化の利用が増える可能性がある ([RFC7230] 第 4.2 節). 安全なチャネル上で用いると, BREACH のようなサイドチャネル攻撃が可能になる場合がある ([RFC7540] 第 10.6 節および [BREACH] 参照). 公開時点では, BREACH 類似攻撃を HTTP リクエストの圧縮にどう適用するかは不明であった.