是根本没有保护就对"cookies"进行明文存储来防止信息的泄漏 。HTTP状态治理因此应当不
用于鉴定机制来保护信息避免其泄漏给未经授权的第三方,即使是HTTP会话是经过加密的 。
对禁止的用于鉴定的HTTP状态治理既包括使用于保护服务提供的信息又包括有关用户
交给服务托管的潜在和敏感的信息 。例如,假如泄漏一个用户的名字、地址、电话号码或账
单信息给一个拥有先前与该用户有关系的“cookies”的客户是不合适的 。
同样的,HTTP状态治理不应该用于鉴别用户的请求对于用户可能会有令人不快的副作用,
除非用户知道潜在的副作用并明确同意这样使用 。例如,一项答应用户通过简单的“点击”
定购货物的服务,完全基于用户存储的"cookied",假如“cookies”会泄漏给第三方的话,
可能会导致一系列的麻烦,如用户对信用卡上的花费产生怀疑的麻烦,并且/或者发来的不是
自己想要的货物,
一些HTTP状态治理在用户鉴定上的应用可能会导致相关的危害,例如,假如唯一的信息可能
是暴露在服务中,那么服务也会因这些信息的暴露,而受到一些小小的危害
3.用户对于HTTP状态治理需要考虑的事项
HTTP状态治理丰存在很大的争议,这是因为它有潜在危险,不经过用户的承认和答应,将
用户浏览习惯的信息泄漏给第三方 。虽然这只是一种可能,这种协议本身存在问题相对于在
HTTP客户端的执行出现错误而言是一种较小的错误(对于基于HTTP服务的提供者而言)来
保护用户的爱好 。
正如上面所暗示的一样,还有其它的方法来维持会话状态而可以不用HTTP状态治理来实
现,因此其它的方法也可以跟踪到用户的浏览习惯 。确实,很难设想HTTP协议或一个HTTP
客户怎么做才能够真正的防止服务泄漏用户的“点击轨迹”给其它人,假如服务选择了这么
做的话 。必须保护这些信息不被泄漏,这是这类服务的职责 。HTTP客户端的执行存在不能被
保护的特性,尽管他们能够采取对策使得HTTP状态治理更难以应用作此类信息泄漏的机制 。
不管通过HTTP状态治理的使用或其它方法的使用能否更轻易导致泄漏,通常HTTP客户都
可以提供更多的保护来防止不适当的跟踪信息的泄漏,这是一个值的论证的问题 。然而,然
然而,有关其它相关的机制就不属于本备忘录讨论的范围了 。
3.1.HTTP客户所必需的性能
用户自己同意使用HTTP状态治理很可能不同于对于另一方的的服务,依照是否用户信任
这项服务来适当地使用这些信息并且限制把它泄漏给它方 。用户因此应当能够在每一服务的
基础上,对它的客户能否使用HTTP状态治理服务的要求进行控制 。非凡是:
(1)客户端一定不要响应HTTP状态治理的请求,除非确实是被客户激活 。
(2)在客户提供任何状态信息给服器前,客户端应该提供一个答应用户回顾的有效的界
面,并且批准或者拒绝来自服务的任何特定请求以维护状态信息 。
(3)在每一服务的基础上,一但响应任何特定的来自服务器的请求,在客户提供任何状
态信息给服务器之前,客户端就应当立即提供一个有效的界面,这个界面答应用户通知他们
的客户端忽略所有以维持状态信息的来自特定服务的请求 。
(4)客户应当提供一个有效的界面答应用户禁止未来对服务进行任何状信息的传输 。
或者放弃任何已经保存的对于服务的状态信息,即使是用户先前认可的维持状态信息的服务
请求 。
推荐阅读
- 在NetBIOS网络上传输IP数据报的标准
- v3 简单目录访问协议:传输层安全扩展
- 在串行线路上传输IP数据报的非标准协议
- TCP/IP:传输控制协议和网间协议
- 公用数据网上的IP数据报传输标准
- WWW的核心—HTTP协议
- 在IP网络传输话音和数据的渐进方法
- RFC3 文档规范
- 如何蓝牙一次传输多个文件
- 百度网盘怎么传输文件 文件传输看完你就明白了