2014年6月14日土曜日

HTTPの標準規格が改定


ひっそりと、HTTPのRFCが改定されたようです。

改定されたのは15年ぶりということですが、
変更は、曖昧さの排除や、無駄な空白文字や改行の排除など、
セキュリティを強化する方向への変更だそうです。

HTTP/2.0になったわけでも、大きな変更があるわけではないですが、
この業界の人は最低限チェックしておきましょう。

主な変更点下記のような内容

  • 圧縮方式からidenty 方式がなくなった
  • HTTP/HTTPSのURIに、ユーザ名やパスワードなどの情報を付加することが禁止になった
  • 圧縮形式の定義は、IETFへの登録と認可が必要になった
  • HTTP/0.9のサポートが必要ではなくなった
  • HTTPメッセージのバッファリングを許容
  • 無効な空白文字が含まれるメッセージをリジェクトすることが求められるようになった
  • 空白文字の使用箇所は明示的に提示された
  • NUL文字をコメントなどに含めることは許容されなくなった
  • エスケープ文字としてのバックスラッシュの使い方を明確にした
  • ヘッダフィールド内の非US-ASCIIコンテンツは廃止(テキストルールから削除)
  • 空のリストは禁止された
  • ヘッダーに改行を含む記述をすることは排除された
  • エラー処理の説明を追加
  • コンテンツ長ヘッダが偽造されていた場合、エラーとして処理することが求められるようになった
  • チャンクでの転送時のチャンク長はヘッダーとトレーラーを含まないこととした。
  • HTTPのHeaderのVersion フィールドにのせるバージョン名"HTTP/1.1"が大文字限定になり番号の桁数も1桁限定になった
  • メッセージ長を決定するアルゴリズムでの例外を排除し、より明確になった
  • deflateの定義明確になった
  • Upgadeヘッダーの構文が明確になった
  • OPTIONメソッドによる共有の制限
  • "Effective Request URI"が新たに定義された。
  • ゲートウェイが、VIA ヘッダを付加する必要がなくなった
  • CLOSEを送信すべきタイミングを明確にした。
  • サーバーあたり2接続数の制限がなくなりました。
  • KEEP-ALIVE の問題を記述し、クライアントが、REQにProxy-Connectionヘッダーを含めないように推奨している。
  • RFC2818で定義されていたHTTPSのURIスキームがRFC7230で定義されるようになった
  • RFC2817の7.2に記載されていた "Hypertext Transfer Protocol (HTTP) Upgrade Token Registry"が 8.6に収容された

簡単に調べた範囲での情報なので、下記サイトも参考に再確認しましょう。
世界は急には変わりませんが、意外に気になるものもあるので、チェックチェック。

Webを支える技術 -HTTP、URI、HTML、そしてREST (WEB+DB PRESS plus)
山本 陽平
技術評論社
売り上げランキング: 31,535

0 コメント:

コメントを投稿