Atom配信フォーマット(安全性への配慮)

広告

広告

原文

最終更新
2006-10-02T21:21:00+09:00
この記事のURI参照
http://www.7key.jp/rfc/4287/rfc4287_8.html#source

Atom配信フォーマット(和訳)

最終更新
2006-10-06T00:58:00+09:00
この記事のURI参照
http://www.7key.jp/rfc/4287/rfc4287_8.html#translation

8. 安全性への配慮

8.1. HTMLとXHTMLコンテンツ

   Text constructs and atom:content allow the delivery of HTML and
   XHTML.  Many elements in these languages are considered 'unsafe' in
   that they open clients to one or more types of attack.  Implementers
   of software that processes Atom should carefully consider their
   handling of every type of element when processing incoming (X)HTML in
   Atom Documents.  See the security sections of [RFC2854] and [HTML]
   for guidance.

Textコンストラクトとatom:contentは、HTMLとXHTMLの配信を認めるものである。これらの言語の多くの要素は、複数種の攻撃に対してクライアントが開放されているため安全ではないと考えられる。Atomを処理するソフトウェアの実装者は、Atom文書に含まれる(X)HTMLを処理する際に、全ての要素の取り扱いに関して十分考察すべきである。指針として[RFC2854]と[HTML]を参照のこと。

   Atom Processors should pay particular attention to the security of
   the IMG, SCRIPT, EMBED, OBJECT, FRAME, FRAMESET, IFRAME, META, and
   LINK elements, but other elements might also have negative security
   properties.

   (X)HTML can either directly contain or indirectly reference
   executable content.

Atom処理装置は、IMG、SCRIPT、EMBED、OBJECT、FRAME、FRAMESET、IFRAME、META、LINKの各要素の安全性に特に注意すべきであり、かと言って他の要素が安全であるとは限らない。

(X)HTMLは、実行可能なコンテンツを直接含み、また間接的に参照することも可能である。

8.2. URI

   Atom Processors handle URIs.  See Section 7 of [RFC3986].

Atom処理装置はURIを処理する。[RFC3986]の7章を参照のこと。

8.3. IRI

   Atom Processors handle IRIs.  See Section 8 of [RFC3987].

Atom処理装置はIRIを処理する。[RFC3987]の8章を参照のこと。

8.4. なりすまし

   Atom Processors should be aware of the potential for spoofing attacks
   where the attacker publishes an atom:entry with the atom:id value of
   an entry from another feed, perhaps with a falsified atom:source
   element duplicating the atom:id of the other feed.  For example, an
   Atom Processor could suppress display of duplicate entries by
   displaying only one entry from a set of entries with identical
   atom:id values.  In that situation, the Atom Processor might also
   take steps to determine whether the entries originated from the same
   publisher before considering them duplicates.

Atom処理装置は、他のフィードからエントリのatom:idを伴うatom:entryが攻撃者によって発行されるというなりすまし攻撃の恐れを考慮すべきである。恐らくそのatom:entryは、他フィードのatom:idを複製した偽造のatom:source要素を伴っているだろう。例えばAtom処理装置は、同一のatom:id値を持つエントリの中から1つだけ表示することにより、重複するエントリの表示を制御することができる。この場合、Atom処理装置はエントリを重複だと見なす前に、それらのエントリが同じ発行者からのものかどうかを調べる手段を講じてもよいだろう。

8.5. 暗号化と署名

   Atom Documents can be encrypted and signed using
   [W3C.REC-xmlenc-core-20021210] and [W3C.REC-xmldsig-core-20020212],
   respectively, and are subject to the security considerations implied
   by their use.

Atom文書は[W3C.REC-xmlenc-core-20021210]と[W3C.REC-xmldsig-core-20020212]を用いて暗号化及び署名付けを行うことができ、それぞれを用いる際の安全性への配慮の対象となる。

   Digital signatures provide authentication, message integrity, and
   non-repudiation with proof of origin.  Encryption provides data
   confidentiality.

電子署名は、認証、メッセージの完全性、否認防止を非改ざん文書の証拠として提供するものであり、暗号化はデータの機密性を提供するものである。

広告

Copyright (C) 2006 七鍵 key@do.ai 初版:2006年10月02日 最終更新:2006年10月06日