メインコンテンツまでスキップ

12. セキュリティ考慮事項、IANA考慮事項、参考文献

12. セキュリティ考慮事項、IANA考慮事項、参考文献 (Security, IANA Considerations, References)

12.1. セキュリティ考慮事項 (Security Considerations)

ロスレスデータ圧縮ライブラリの実装に固有のセキュリティ問題は、通常、バッファオーバーフロー、ストリームの解析/検証、またはリソース消費の問題に関連しています。

バッファオーバーフロー (Buffer Overflows)

圧縮解除ルーチンは、解凍後のデータのサイズを保証できないため、圧縮データのすべてのバイトが解凍中に複数回解凍される可能性があるため、異常に大きな出力を回避するために、圧縮解除ルーチンは固定メモリバッファまたは固定ファイルサイズの出力に書き込んではなりません (MUST NOT)。

brotli 形式の実装を行う場合、固定サイズのバッファに書き込むことは適切かもしれません。その場合、バッファを超えるすべての出力を破棄し、エラーを返す必要があります (MUST)。

リソース消費攻撃 (Resource Consumption Attacks)

入力データをサニタイズしない実装は、攻撃者が意図的に作成した圧縮データの解凍中に過度のリソース(CPU、RAM、ディスク)を消費する可能性があります。

サイドチャネル攻撃 (Side-Channel Attacks)

特定のコンテキストで brotli 圧縮を使用すると、サイドチャネル攻撃にさらされる可能性があります。機密情報と攻撃者制御の情報が同じ圧縮ストリームに存在する場合、圧縮ストリームの長さから機密情報の一部が推測される可能性があります。これは、たとえば、HTTPS を介してストリームが暗号化されている場合でも発生する可能性があります。

12.2. IANA 考慮事項 (IANA Considerations)

"Hypertext Transfer Protocol (HTTP) Parameters" レジストリ (http://www.iana.org/assignments/http-parameters) の "HTTP Content Coding Registry" サブレジストリは、次のように更新されています:

名前 (Name)説明 (Description)参照 (Reference)
brBrotli 圧縮データ形式 (Brotli Compressed Data Format)RFC 7932

12.3. 規範的参考文献 (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, http://www.rfc-editor.org/info/rfc2119.

  • [LZ77] Ziv, J. and A. Lempel, "A Universal Algorithm for Sequential Data Compression", IEEE Transactions on Information Theory, Vol. 23, No. 3, pp. 337-343, DOI 10.1109/TIT.1977.1055714, May 1977.

12.4. 参考情報参考文献 (Informative References)

  • [HUFFMAN] Huffman, D., "A Method for the Construction of Minimum-Redundancy Codes", Proceedings of the IRE, Vol. 40, Issue 9, pp. 1098-1101, DOI 10.1109/JRPROC.1952.273898, September 1952.

  • [RFC1951] Deutsch, P., "DEFLATE Compressed Data Format Specification version 1.3", RFC 1951, DOI 10.17487/RFC1951, May 1996, http://www.rfc-editor.org/info/rfc1951.

  • [RFC7231] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content", RFC 7231, DOI 10.17487/RFC7231, June 2014, http://www.rfc-editor.org/info/rfc7231.

出典 (Source): RFC 7932, Sections 12-14
公式テキスト (Official Text): https://www.rfc-editor.org/rfc/rfc7932.txt

最終更新