広告
広告
https://www.7key.jp/rfc/4287/rfc4287_8.html#source
https://www.7key.jp/rfc/4287/rfc4287_8.html#translation
Text constructs and atom:content allow the delivery of HTML and XHTML. Many elements in these languages are considered 'unsafe' in that they open clients to one or more types of attack. Implementers of software that processes Atom should carefully consider their handling of every type of element when processing incoming (X)HTML in Atom Documents. See the security sections of [RFC2854] and [HTML] for guidance.
Textコンストラクトとatom:content
は、HTMLとXHTMLの配信を認めるものである。これらの言語の多くの要素は、複数種の攻撃に対してクライアントが開放されているため安全ではないと考えられる。Atomを処理するソフトウェアの実装者は、Atom文書に含まれる(X)HTMLを処理する際に、全ての要素の取り扱いに関して十分考察すべきである。指針として[RFC2854]と[HTML]を参照のこと。
Atom Processors should pay particular attention to the security of the IMG, SCRIPT, EMBED, OBJECT, FRAME, FRAMESET, IFRAME, META, and LINK elements, but other elements might also have negative security properties. (X)HTML can either directly contain or indirectly reference executable content.
Atom処理装置は、IMG、SCRIPT、EMBED、OBJECT、FRAME、FRAMESET、IFRAME、META、LINKの各要素の安全性に特に注意すべきであり、かと言って他の要素が安全であるとは限らない。
(X)HTMLは、実行可能なコンテンツを直接含み、また間接的に参照することも可能である。
Atom Processors handle URIs. See Section 7 of [RFC3986].
Atom処理装置はURIを処理する。[RFC3986]の7章を参照のこと。
Atom Processors handle IRIs. See Section 8 of [RFC3987].
Atom処理装置はIRIを処理する。[RFC3987]の8章を参照のこと。
Atom Processors should be aware of the potential for spoofing attacks where the attacker publishes an atom:entry with the atom:id value of an entry from another feed, perhaps with a falsified atom:source element duplicating the atom:id of the other feed. For example, an Atom Processor could suppress display of duplicate entries by displaying only one entry from a set of entries with identical atom:id values. In that situation, the Atom Processor might also take steps to determine whether the entries originated from the same publisher before considering them duplicates.
Atom処理装置は、他のフィードからエントリのatom:id
を伴うatom:entry
が攻撃者によって発行されるというなりすまし攻撃の恐れを考慮すべきである。恐らくそのatom:entry
は、他フィードのatom:id
を複製した偽造のatom:source
要素を伴っているだろう。例えばAtom処理装置は、同一のatom:id
値を持つエントリの中から1つだけ表示することにより、重複するエントリの表示を制御することができる。この場合、Atom処理装置はエントリを重複だと見なす前に、それらのエントリが同じ発行者からのものかどうかを調べる手段を講じてもよいだろう。
Atom Documents can be encrypted and signed using [W3C.REC-xmlenc-core-20021210] and [W3C.REC-xmldsig-core-20020212], respectively, and are subject to the security considerations implied by their use.
Atom文書は[W3C.REC-xmlenc-core-20021210]と[W3C.REC-xmldsig-core-20020212]を用いて暗号化及び署名付けを行うことができ、それぞれを用いる際の安全性への配慮の対象となる。
Digital signatures provide authentication, message integrity, and non-repudiation with proof of origin. Encryption provides data confidentiality.
電子署名は、認証、メッセージの完全性、否認防止を非改ざん文書の証拠として提供するものであり、暗号化はデータの機密性を提供するものである。
広告