RFC: 2068
Оригинал: Hypertext Transfer Protocol - HTTP/1.1
Другие версии: RFC 2616
Категория: Предложенный стандарт
Дата публикации:
Авторы: , , , ,
Перевод: Алексей Симонов

15.8. Подмена DNS-адресов (DNS Spoofing)

Клиенты, используя HTTP полагаются тяжело на Службу именования доменов, и являются таким образом обычно склонными к атакам безопасности, основанным на преднамеренной неправильной ассоциации имен DNS и адресов IP. Клиенты должны быть осторожными в принятии продолжающейся законности номера IP/DNS ассоциация имени.

В частности клиенты HTTP ДОЛЖНЫ положиться на свой преобразователь адресов имени для подтверждения номера IP/DNS ассоциация имени, вместо того, чтобы кэшировать результат предыдущих поисков имени хоста. Много платформ уже могут кэшировать поиски имени хоста локально когда приспособлено, и они ДОЛЖНЫ быть конфигурированы, чтобы сделать так. Эти поиски должны кэшироваться, однако, только когда ТТЛ-СХЕМА (Время, Чтобы Жить) информация, о которой сообщает блок преобразования имен, делает его вероятно, что кэшируемая информация останется полезной.

Если клиенты HTTP кэшируют результаты поисков имени хоста, чтобы достигнуть повышения производительности, они ДОЛЖНЫ наблюдать информацию о ТТЛ-СХЕМЕ, о которой сообщает DNS.

Если клиенты HTTP не наблюдают это правило, они могли бы быть spoofed, когда адрес IP ранее обращенного сервера изменяется. Поскольку сетевое изменение нумерации, как ожидают, все более и более станет распространено, возможность этой формы атаки будет расти. Наблюдение этого требования таким образом уменьшает это потенциальное уязвимое место безопасности.

Это требование также улучшается, поведение выравнивания нагрузки клиентов для скопированных серверов, используя тот же самый DNS называют, и уменьшает вероятность отказа преодоления пользователя в обращающихся сайтах, которые используют ту стратегию.

15.9. Расположение заголовков и Spoofing

Если отдельный сервер поддерживает множественные организации, которые не доверяют друг другу, то он должен проверить значения Location и заголовков ContentLocation в ответах, которые сгенерированы под управлением сказанными организациями, чтобы удостовериться, что они не пытаются лишить ресурсы законной силы, над которыми у них нет никакого полномочия.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.