RFC: 2068
Оригинал: Hypertext Transfer Protocol - HTTP/1.1
Другие версии: RFC 2616
Категория: Предложенный стандарт
Дата публикации:
Авторы: , , , ,
Перевод: Алексей Симонов

15.5. Атаки, основанные именах файлов и путей

Реализации серверов происхождения HTTP ДОЛЖНЫ делать все возможное ограничить документы, возвращенные запросами HTTP, чтобы быть только теми, которые были предназначены администраторами сервера. Если сервер HTTP переводит URI HTTP непосредственно в системные вызовы файла, сервер ДОЛЖЕН взять специальную заботу, чтобы не служить файлам, которые не были предназначены, чтобы быть поставленными клиентам HTTP. Например, UNIX, Microsoft Windows, и другие операционные системы используют ".." как компонент пути, чтобы указать каталог выравниваются выше текущего. На такой системе сервер HTTP ДОЛЖЕН отвергнуть любую такую конструкцию в Request-URI, если он иначе позволил бы доступ к ресурсу вне предназначенных быть доступным через сервер HTTP. Точно так же файлы, предназначенные для справочной информации только внутренне на сервер (например, файлы управления доступом, файлы конфигурации, и скриптовый код), ДОЛЖНЫ быть защищены от несоответствующего поиска, так как они могли бы содержать секретную информацию. Опыт показал тем незначительным ошибкам в таких реализациях сервера HTTP, превратились в угрозы безопасности.

15.6. Персональная Информация

Клиенты HTTP часто посвящены в большое количество персональной информации (например, имя пользователя, местоположение, отправляет по почте адрес, пароли, ключи шифрования, и т.д.), и ДОЛЖЕН очень делать все возможное предотвратить неумышленную утечку этой информации через протокол HTTP к другим источникам.

Мы очень строго рекомендуем, чтобы удобный интерфейс был предоставлен для пользователя, чтобы управлять распространением такой информации, и что дизайнеры и разработчики быть особенно осторожным в этой области.

Хронология показывает этому, ошибки в этой области часто — и серьезная безопасность и проблемы частной жизни, и часто генерируют очень неблагоприятную гласность для компании разработчика.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.