8. セキュリティに関する考察
HTTP [HTTP] のセキュリティに関する考慮事項は、バイナリ形式の使用に適用されます。バイナリ形式は、セキュリティ関連の属性を持つメッセージを含む、すべてのHTTPメッセージのエンコーディングを許可します。
主なセキュリティに関する考慮事項:
-
メッセージの完全性 - 受信者は、メッセージが形式仕様に準拠していることを検証する必要があります(MUST)
-
サイズ制限 - 実装は、リソース枯渇を防ぐためにメッセージとフィールドのサイズに制限を課すべきです(SHOULD)
-
フィールド名の大文字小文字 - 実装は、大文字小文字の区別攻撃を防ぐためにフィールド名を小文字に変換する必要があります(MUST)
-
切り捨て - 切り捨てられたメッセージを検出し、適切に処理する必要があります
-
認証付き暗号化 - この形式は、改ざんから保護できるメッセージ全体の認証付き暗号化を可能にします
-
情報の露出 - バイナリエンコーディングは、テキストエンコーディングと比較して一部の情報露出を減らす可能性があります
-
無効なメッセージ - 実装は無効なメッセージをエラーとして扱い、転送してはなりません(MUST NOT)
バイナリHTTPメッセージで認証付き暗号化(例:AEADアルゴリズム)を使用すると、ヘッダーとコンテンツを含むメッセージ全体に機密性と完全性の保護を提供できます。