URI共通構文(7)

広告

広告

原文

最終更新
2006-04-14T01:01:00+09:00
この記事のURI参照
http://www.7key.jp/rfc/2396/rfc2396_7.html#source

URI共通構文(和訳)

最終更新
2006-09-27T00:00:00+09:00
この記事のURI参照
http://www.7key.jp/rfc/2396/rfc2396_7.html#translation

7. Security Considerations

   A URI does not in itself pose a security threat.  Users should beware
   that there is no general guarantee that a URL, which at one time
   located a given resource, will continue to do so.  Nor is there any
   guarantee that a URL will not locate a different resource at some
   later point in time, due to the lack of any constraint on how a given
   authority apportions its namespace.  Such a guarantee can only be
   obtained from the person(s) controlling that namespace and the
   resource in question.  A specific URI scheme may include additional
   semantics, such as name persistence, if those semantics are required
   of all naming authorities for that scheme.

URIは、それ自身が安全性に関する問題を引き起こすことはない。ある時点でリソースの位置を指定していたURLが保持される保証は通常存在しないことに利用者は注意すべきである。また同様に、ある機関が名前空間を割り当てる手順にいかなる制約も設けられていないので、ある時点でのURLが異なるリソースの位置指定に用いられないという保証はない。これらの保証は、名前空間の管理者と当該リソースの管理者からのみ得ることができる。特定のURIスキームは、名称の永続性といった追加の意味がそのスキームについての全ての名付け機関に要求されるのであれば、その意味を含んでもよい。

   It is sometimes possible to construct a URL such that an attempt to
   perform a seemingly harmless, idempotent operation, such as the
   retrieval of an entity associated with the resource, will in fact
   cause a possibly damaging remote operation to occur.  The unsafe URL
   is typically constructed by specifying a port number other than that
   reserved for the network protocol in question.  The client
   unwittingly contacts a site that is in fact running a different
   protocol.  The content of the URL contains instructions that, when
   interpreted according to this other protocol, cause an unexpected
   operation.  An example has been the use of a gopher URL to cause an
   unintended or impersonating message to be sent via a SMTP server.

リソースに関連付けられた実体の検索など、一見無害で同等の操作のように思えても、実際には障害が生ずる遠隔操作を引き起こすURLの構成が可能な場合もある。そうした安全でないURLは、通常問題となるネットワークプロトコルで予約されていないポート番号が指定された場合に構成される。クライアントは実際には異なったプロトコルが動作しているサイトに接続してしまうこととなり、URLの内容がこの別のプロトコルに従い解釈される場合に予期せぬ処理が引き起こされる命令が含まれることとなる。例えば、ゴーファーのURLを使用した際に、SMTPサーバ経由で意図しない又は身元を偽装したメッセージが送信されたことを挙げることができる。

   Caution should be used when using any URL that specifies a port
   number other than the default for the protocol, especially when it is
   a number within the reserved space.

プロトコルの規定値とは異なるポート番号を用いるURI、特にそれがポート番号の予約空間内である場合は特に注意を促すべきである。

   Care should be taken when a URL contains escaped delimiters for a
   given protocol (for example, CR and LF characters for telnet
   protocols) that these are not unescaped before transmission.  This
   might violate the protocol, but avoids the potential for such
   characters to be used to simulate an extra operation or parameter in
   that protocol, which might lead to an unexpected and possibly harmful
   remote operation to be performed.

URLが、そのプロトコルのエスケープされた区切り文字(例えば、telnetプロトコルでのCR+LF)を含む場合、伝送前にアンエスケープしないよう注意すべきである。これはプロトコルの規定に反するものであるかもしれないが、それらの文字がプロトコルにおいて特殊な操作又はパラメータとして用いられ、予期しない、多くの場合有害な遠隔操作を引き起こしかねない可能性を避けることとなる。

   It is clearly unwise to use a URL that contains a password which is
   intended to be secret. In particular, the use of a password within
   the 'userinfo' component of a URL is strongly disrecommended except
   in those rare cases where the 'password' parameter is intended to be
   public.

隠すべくパスワードを含むURLを使用することは明らかに愚かなことである。特に、ユーザ情報コンポーネント内にパスワードを用いることは、パスワードパラメータの公開を意図する稀な場合を除き強く非推奨とする。

広告

Copyright (C) 2006 七鍵 key@do.ai 初版:2006年04月14日 最終更新:2006年09月27日