Wednesday, January 23, 2008

IETF starts working on security requirements for HTTP

Andre sent me a link on "Security Requirements for HTTP". It is exciting to see at least security issues of HTTP protocol are being addressed by IETF. This is a first draft and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are starting to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems and will address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a final part of this document.

http://www.ietf.org/internet-drafts/draft-ietf-httpbis-security-properties-00.txt

Recent IESG practice dictates that IETF protocols must specify mandatory-to-implement security mechanisms, so that all conformant implementations share a common baseline. This document examines all widely deployed HTTP security technologies, and analyzes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade-offs of each.

The internet draft of "Security Requirements of HTTP" addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing security mechanisms of HTTP or its lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof :)

Forms and cookies have number of properties that make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m an excellent solution for some implementors. However, many of those properties introduce serious security trade-offs.

HTML forms provide a large degree of control over presentation, which is an imperative for many websites. However, this increases user reliance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appearance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface. Many users do not understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 construction of URIs [RFC3986], or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presentation in common clients [[ CITATION NEEDED ]]. As a result, forms are extremely vulnerable to spoofing.

Cookies are susceptible to a large variety of XSS (cross-site scripting) attacks, and measures to prevent such attacks will never be as stringent as necessary for aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication credentials because cookies are used for many purposes. Cookies are also susceptible to a wide variety of attacks from malicious intermediaries and observers. The possible attacks depend on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookie data. There is no standard format for most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.


Remember this is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial draft and is incomplete but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good news is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have started working on it and sooner cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n later would be implemented. It may not have all that we want, but at least it will do something more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what we have today.

No comments: