rfc2964.txt

RFC规范的翻译稿

对禁止的用于鉴定的HTTP状态管理既包括使用于保护服务提供的信息又包括有关用户
交给服务托管的潜在和敏感的信息。例如，如果泄漏一个用户的名字、地址、电话号码或账
单信息给一个拥有先前与该用户有关系的“cookies”的客户是不合适的。

   同样的，HTTP状态管理不应该用于鉴别用户的请求对于用户可能会有令人不快的副作用，
除非用户知道潜在的副作用并明确同意这样使用。例如，一项允许用户通过简单的“点击”
定购货物的服务，完全基于用户存储的"cookied"， 如果“cookies”会泄漏给第三方的话，
可能会导致一系列的麻烦，如用户对信用卡上的花费产生怀疑的麻烦，并且/或者发来的不是
自己想要的货物， 

一些HTTP状态管理在用户鉴定上的应用可能会导致相关的危害，例如，如果唯一的信息可能
是暴露在服务中，那么服务也会因这些信息的暴露，而受到一些小小的危害

3.  用户对于HTTP状态管理需要考虑的事项

  HTTP状态管理丰存在很大的争议，这是因为它有潜在危险，不经过用户的承认和允许，将
用户浏览习惯的信息泄漏给第三方。虽然这只是一种可能，这种协议本身存在问题相对于在
HTTP客户端的执行出现错误而言是一种较小的错误（对于基于HTTP服务的提供者而言）来
保护用户的兴趣。


  正如上面所暗示的一样，还有其它的方法来维持会话状态而可以不用HTTP状态管理来实
现， 因此其它的方法也可以跟踪到用户的浏览习惯。确实，很难设想HTTP协议或一个HTTP
客户怎么做才能够真正的防止服务泄漏用户的“点击轨迹”给其它人，如果服务选择了这么
做的话。必须保护这些信息不被泄漏，这是这类服务的职责。HTTP客户端的执行存在不能被
保护的特性，尽管他们能够采取对策使得HTTP状态管理更难以应用作此类信息泄漏的机制。








   不管通过HTTP状态管理的使用或其它方法的使用能否更容易导致泄漏，通常HTTP客户都
可以提供更多的保护来防止不适当的跟踪信息的泄漏，这是一个值的论证的问题。然而，然
然而，有关其它相关的机制就不属于本备忘录讨论的范围了。

3.1.  HTTP客户所必需的性能

   用户自己同意使用HTTP状态管理很可能不同于对于另一方的的服务，依照是否用户信任
这项服务来适当地使用这些信息并且限制把它泄漏给它方。用户因此应当能够在每一服务的
基础上，对它的客户能否使用HTTP状态管理服务的要求进行控制。特别是：

   (1)   客户端一定不要响应HTTP状态管理的请求，除非确实是被客户激活。

   (2)  在客户提供任何状态信息给服器前，客户端应该提供一个允许用户回顾的有效的界
面，并且批准或者拒绝来自服务的任何特定请求以维护状态信息。

   (3)  在每一服务的基础上， 一但响应任何特定的来自服务器的请求，在客户提供任何状
态信息给服务器之前，客户端就应当立即提供一个有效的界面，这个界面允许用户通知他们
的客户端忽略所有以维持状态信息的来自特定服务的请求。

   (4)   客户应当提供一个有效的界面允许用户禁止未来对服务进行任何状信息的传输。
或者放弃任何已经保存的对于服务的状态信息，即使是用户先前认可的维持状态信息的服务
请求。

   (5)   客户应当提供一个有效的界面，允许用户去中断一个先前的请求，而不为已经给
予的服务保持状态管理信息

3.2.  域匹配算法的局限性。

   域匹配算法 在 RFC-2965 中第2段中企发性的允许用户去“猜”是否两个域是同一个服
务的一部分。关于如何域能被使用的规则很少，并且域名结构和它们如何被从顶级域转换为
其它域名（也就是客户不能说出域名的哪一部分被分配给了服务。因此，没有字符串比较算
法（包括域名匹配算法）可以从一个属于其他部分的域名中用来区分属于特别服务的域名。

作为上面的说明，每一项服务最终应负责的是负保证用户的信息不会不适当的泄露给第三方。
通过仔细地选择域名，或第三方通过维持给主机指定域名，利用状态管理泄露信息给第三方，
至少通过使用其他方法在信息的泄漏上是一样的不合适的。

4.  安全考虑

整篇备忘录都是有关安全考虑的。

5.  作者的地址

   Keith Moore
   University of Tennessee Computer Science Department
   1122 Volunteer Blvd, Suite 203
   Knoxville TN, 37996-3450

   EMail: moore@cs.utk.edu


   Ned Freed
   Innosoft International, Inc.
   1050 Lakes Drive
   West Covina, CA 81790

   EMail: ned.freed@innosoft.com

6. 参考文献

   [RFC 1123] Braden, R., "Requirements for Internet Hosts --
              Application and Support", STD 3, RFC 1123, October 1989.

   [RFC 2965] Kristol, D. and L. Montulli, "HTTP State Management
              Mechanism", RFC 2965, October 2000.

   [RFC 2109] Kristol, D. and L. Montulli, "HTTP State Management
              Mechanism", RFC 2109, February 1997.

7.  版权声明

   Copyright (C) The Internet Society (2000).  All Rights Reserved.

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

致谢

   Funding for the RFC Editor function is currently provided by the
   Internet Society.

RFC 2964  Use of HTTP State Management          超文本传输协议(HTTP)状态管理的应用


1
RFC文档中文翻译计划