Disclaimer, sono nuovo in InformationSecurity, mi dispiace se non seguo le regole come previsto. Ho chiesto questo post su stackOverflow e mi è stato suggerito di trasferirlo qui
Finora ho ricevuto:
- Origine = Schema (cioè https) + host + porta (può implicito)
- Authority = Userinfo (uso raro) + host + porta
e mentre i certificati di dominio si applicano ai domini pienamente qualificati, ai domini WildCard e ai domini multipli [ad es. elenco di sottodomini], ma in realtà solo per https (quindi ottiene lo schema implicitamente)
d'altro canto, la risoluzione DNS (alcuni fornitori) consente l'inoltro IP di un dominio, il sottodominio dedicato a diversi indirizzi IP e l'inoltro di caratteri jolly a un altro IP [come sottodomini per identificare servizi, protocolli noti anche a volte utilizzati : _ (]
dunque:
-
due petizioni per schemi diversi possono condividere la stessa autorità ma non Origins (evitando CORS) e né Certificati, che dire di altri protocolli come RTP, RTSP, SSH, FTP o SMTP ?? è il limite dell'uso del protocollo su applicazioni Web protette?
-
pur non essendo una pratica di uso comune, UserInfo può essere utente per un breve periodo di identificazione / segmentazione, lo rende incompatibile con i certificati SSL?
-
e infine, su uno scenario con diversi sottodomini che identificano diverse macchine (diferente IP) convalida lo stesso certificato jolly / multidominio in tutte le macchine ??
leggi le RFC, molte informazioni e un sacco di domande stackOverflow, ancora confuse tra questi termini
infine, e per sicurezza, oltre a schema / autorità / host / porte, nient'altro ha a che fare con la sicurezza all'interno dell'URI, giusto? (Voglio dire, qualsiasi parte del percorso, o query, o così via)
"lo scopo di questa domanda è capire chiaramente dove collidono tutti questi concetti / termini, credo di avere una buona comprensione del modello OSI e di aver letto abbastanza documentazione disponibile, ma qualcosa ancora in un'area grigia"