9. Security Considerations

이 절은 HTTP 의미와 관련된 알려진 보안 우려 사항과 인터넷을 통한 정보 전송에 대한 그것의 사용을 개발자, 정보 제공자 및 사용자에게 알리기 위한 것이다. 메시지 구문, 구문 분석 및 라우팅과 관련된 고려사항은 [RFC7230]의 Section 9에 설명되어 있다.

9.1. Attacks Based on File and Path Names

9.2. Attacks Based on Command, Code, or Query Injection

9.3. Disclosure of Personal Information

클라이언트는 리소스(e.g., 사용자의 이름, 위치, 메일 주소, 비밀번호, 암호화 키 등)와 시간 경과에 따른 사용자의 검색 활동에 대한 정보(e.g., 이력, 책갈피 등)를 포함하여 사용자가 제공한 두 가지 정보를 포함하여 대량의 개인 정보에 종종 접근한다. 구현 시 의도하지 않은 개인정보의 공개를 방지할 필요가 있다.

9.4. Disclosure of Sensitive Information in URIs

URI는 보안 리소스를 식별하더라도 보안이 아닌 공유될 수 있도록 되어 있다. URI는 종종 디스플레이에 표시되고, 페이지가 인쇄될 때 템플릿에 추가되며, 보호되지 않는 다양한 북마크 목록에 저장된다. 따라서 민감하거나 개인 식별 가능하거나 공개할 위험이 있는 정보를 보호되지 않는 다양한 북마크 목록에 포함하는 것은 현명하지 못하다.

9.5. Disclosure of Fragment after Redirects

9.6. Disclosure of Product Information

User-Agent(Section 5.5.3), Via([RFC7230]의 Section 5.7.1), Server(Section 7.4.2) 헤 더 필드는 종종 각 발신자의 소프트웨어 시스템에 대한 정보를 공개한다. 이론적으로, 이것은 공격자가 알려진 보안 구멍을 더 쉽게 이용할 수 있게 한다. 실제로, 공격자는 사용 중인 명백한 소프트웨어 버전에 상관없이 모든 잠재적 구멍을 시도하는 경향이 있다.

9.7. Browser Fingerprinting

브라우저 지문 채취는 고유한 특성 집합을 통해 시간에 따라 특정 사용자 에이전트를 식별하기 위한 기법 집합이다. 이러한 특성은 TCP 동작, 기능 기능 및 스크립팅 환경과 관련된 정보를 포함할 수 있지만, 여기서는 HTTP를 통해 전달될 수 있는 고유한 특성의 집합이다. 지문 감식은 사용자가 다른 형태의 데이터 수집(e.g., cookies)에 대해 가질 수 있는 해당 제어 장치 없이 시간 경과에 따른 사용자 에이전트의 행동을 추적할 수 있기 때문에 개인 정보 보호 문제로 간주된다.

Previous8. IANA Considerations NextAppendix A. Differences between HTTP and MIME

Last updated 5 years ago

hashtag9.1. Attacks Based on File and Path Names

hashtag9.2. Attacks Based on Command, Code, or Query Injection

hashtag9.3. Disclosure of Personal Information

hashtag9.4. Disclosure of Sensitive Information in URIs

hashtag9.5. Disclosure of Fragment after Redirects

hashtag9.6. Disclosure of Product Information

hashtag9.7. Browser Fingerprinting