Sécurité

HTTP est utilisé pour les communications sur Internet. Les développeurs d'applications, les fournisseurs d'informations et les utilisateurs doivent donc être conscients des limites de sécurité de HTTP/1.1. Cette discussion ne comprend pas de solutions définitives aux problèmes mentionnés ici, mais elle fait quelques suggestions pour réduire les risques de sécurité.

Fuite d'informations personnelles

Les clients HTTP sont souvent au courant d'un grand nombre d'informations personnelles telles que le nom de l'utilisateur, sa localisation, son adresse électronique, ses mots de passe, ses clés de chiffrement, etc. Vous devez donc être très prudent pour éviter toute fuite involontaire de ces informations via le protocole HTTP vers d'autres sources.

• Toutes les informations confidentielles doivent être stockées sur le serveur sous forme cryptée.
• Révéler la version spécifique du logiciel du serveur pourrait rendre la machine serveur plus vulnérable aux attaques contre des logiciels connus pour contenir des failles de sécurité.
• Les proxies qui servent de portail à travers un pare-feu de réseau doivent prendre des précautions particulières concernant le transfert des informations d'en-tête qui identifient les hôtes derrière le pare-feu.
• Les informations envoyées dans le champ "From" peuvent entrer en conflit avec les intérêts de l'utilisateur en matière de confidentialité ou avec la politique de sécurité de son site. Elles ne doivent donc pas être transmises sans que l'utilisateur puisse désactiver, activer et modifier le contenu du champ.
• Les clients ne doivent pas inclure un champ d'en-tête Referer dans une requête HTTP (non sécurisée) si la page de référence a été transférée avec un protocole sécurisé.
• Les auteurs de services qui utilisent le protocole HTTP ne doivent pas utiliser de formulaires basés sur le protocole GET pour la soumission de données sensibles, car les données seront alors codées dans l'URL de la demande.

Attaque basée sur les noms de fichiers et de chemins