5. Security Considerations (セキュリティ考慮事項)
新しい問題タイプを定義するとき、含まれる情報は慎重に精査されなければなりません。同様に、実際に問題を生成するとき -- どのようにシリアル化されるにせよ -- 与えられる詳細も精査されなければなりません。
リスクには、システムを危殆化させる、システムへのアクセス、またはシステムのユーザーのプライバシーを侵害するために悪用される可能性のある情報の漏洩が含まれます。
発生情報へのリンクを提供する生成器は、スタックダンプなどの実装詳細を HTTP インターフェースを通じて利用可能にしないことが推奨されます (encouraged)。これは、サーバー実装、そのデータなどの機密詳細を公開する可能性があるためです。
status メンバーは HTTP ステータスコード自体で利用可能な情報を複製するため、両者の間の不一致の可能性をもたらします。不一致は、例えば、中間装置が転送中に HTTP ステータスコードを変更したことを示す可能性があるため(例えば、プロキシまたはキャッシュによって)、それらの相対的な優先順位は明確ではありません。
したがって、問題タイプを定義する人々、および問題の生成器と消費者は、汎用ソフトウェア(プロキシ、ロードバランサー、ファイアウォール、ウイルススキャナーなど)が、このメンバーで伝達されるステータスコードを知っているまたは尊重する可能性が低いことを認識する必要があります。