広告
広告
https://www.7key.jp/rfc/2396/rfc2396_7.html#source
https://www.7key.jp/rfc/2396/rfc2396_7.html#translation
A URI does not in itself pose a security threat. Users should beware that there is no general guarantee that a URL, which at one time located a given resource, will continue to do so. Nor is there any guarantee that a URL will not locate a different resource at some later point in time, due to the lack of any constraint on how a given authority apportions its namespace. Such a guarantee can only be obtained from the person(s) controlling that namespace and the resource in question. A specific URI scheme may include additional semantics, such as name persistence, if those semantics are required of all naming authorities for that scheme.
URIは、それ自身が安全性に関する問題を引き起こすことはない。ある時点でリソースの位置を指定していたURLが保持される保証は通常存在しないことに利用者は注意すべきである。また同様に、ある機関が名前空間を割り当てる手順にいかなる制約も設けられていないので、ある時点でのURLが異なるリソースの位置指定に用いられないという保証はない。これらの保証は、名前空間の管理者と当該リソースの管理者からのみ得ることができる。特定のURIスキームは、名称の永続性といった追加の意味がそのスキームについての全ての名付け機関に要求されるのであれば、その意味を含んでもよい。
It is sometimes possible to construct a URL such that an attempt to perform a seemingly harmless, idempotent operation, such as the retrieval of an entity associated with the resource, will in fact cause a possibly damaging remote operation to occur. The unsafe URL is typically constructed by specifying a port number other than that reserved for the network protocol in question. The client unwittingly contacts a site that is in fact running a different protocol. The content of the URL contains instructions that, when interpreted according to this other protocol, cause an unexpected operation. An example has been the use of a gopher URL to cause an unintended or impersonating message to be sent via a SMTP server.
リソースに関連付けられた実体の検索など、一見無害で同等の操作のように思えても、実際には障害が生ずる遠隔操作を引き起こすURLの構成が可能な場合もある。そうした安全でないURLは、通常問題となるネットワークプロトコルで予約されていないポート番号が指定された場合に構成される。クライアントは実際には異なったプロトコルが動作しているサイトに接続してしまうこととなり、URLの内容がこの別のプロトコルに従い解釈される場合に予期せぬ処理が引き起こされる命令が含まれることとなる。例えば、ゴーファーのURLを使用した際に、SMTPサーバ経由で意図しない又は身元を偽装したメッセージが送信されたことを挙げることができる。
Caution should be used when using any URL that specifies a port number other than the default for the protocol, especially when it is a number within the reserved space.
プロトコルの規定値とは異なるポート番号を用いるURI、特にそれがポート番号の予約空間内である場合は特に注意を促すべきである。
Care should be taken when a URL contains escaped delimiters for a given protocol (for example, CR and LF characters for telnet protocols) that these are not unescaped before transmission. This might violate the protocol, but avoids the potential for such characters to be used to simulate an extra operation or parameter in that protocol, which might lead to an unexpected and possibly harmful remote operation to be performed.
URLが、そのプロトコルのエスケープされた区切り文字(例えば、telnetプロトコルでのCR+LF)を含む場合、伝送前にアンエスケープしないよう注意すべきである。これはプロトコルの規定に反するものであるかもしれないが、それらの文字がプロトコルにおいて特殊な操作又はパラメータとして用いられ、予期しない、多くの場合有害な遠隔操作を引き起こしかねない可能性を避けることとなる。
It is clearly unwise to use a URL that contains a password which is intended to be secret. In particular, the use of a password within the 'userinfo' component of a URL is strongly disrecommended except in those rare cases where the 'password' parameter is intended to be public.
隠すべくパスワードを含むURLを使用することは明らかに愚かなことである。特に、ユーザ情報コンポーネント内にパスワードを用いることは、パスワードパラメータの公開を意図する稀な場合を除き強く非推奨とする。
広告