Gli schemi HMAC di Amazon includono l'hash del richiesta canonica nella stringa da firmare per creare la firma e la richiesta canonica a sua volta include l'host. Qual è l'implicazione della sicurezza di non includere l'host in questo schema?
Gli schemi HMAC di Amazon includono l'hash del richiesta canonica nella stringa da firmare per creare la firma e la richiesta canonica a sua volta include l'host. Qual è l'implicazione della sicurezza di non includere l'host in questo schema?
In generale, si utilizza un HMAC per garantire che un valore non venga modificato (vale a dire: non perde l'integrità). Quindi includere l'URL in HMAC significa che Amazon non vuole consentirne la modifica una volta creato l'HMAC.
In questo caso, incluso l'URL garantisce che una richiesta indirizzata a un URL ma in qualche modo inviata a un'altra possa essere rilevata perché il ricalcolo del destinatario di HMAC utilizzerà l'URL effettivo, non l'URL originale e gli HMAC non incontro.
Questo controllo si aggiungerà a qualsiasi tipo di sicurezza fornita dalle comunicazioni crittografate (ad es. SSL).