6. セキュリティに関する考慮事項

攻撃者は、Cache-Statusの情報を使用してキャッシュ（および他のコンポーネント）の動作を調査し、キャッシュを使用している人の活動を推測できます。Cache-Statusヘッダーフィールドは、それ自体ではこれらのリスクを生み出さない可能性がありますが、攻撃者がそれらを悪用するのを支援する可能性があります。

例えば、キャッシュがレスポンスを保存しているかどうかを知ることは、攻撃者が機密データに対してタイミング攻撃を実行するのに役立つ可能性があります。

さらに、キャッシュキーを公開することは、攻撃者がキャッシュキーへの変更を理解するのに役立つ可能性があり、これはキャッシュポイズニング攻撃を支援する可能性があります。詳細については、[ENTANGLE]を参照してください。

根本的なリスクは、その正確な性質に応じて、さまざまな技術（例：暗号化と認証を使用し、攻撃者が制御するデータをキャッシュキーに含めることを避ける）で軽減できます。単にキーを難読化するだけでは、このリスクは軽減されないことに注意してください。

このような攻撃を支援しないようにするために、Cache-Statusヘッダーフィールドを省略するか、クライアントが受信を許可されている場合にのみ送信するか、クライアントが許可されている場合にのみ機密情報（例：keyパラメータ）を含めて送信することができます。