/
439.txt
73 lines (48 loc) · 2.84 KB
/
439.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
* [CODE(HTTP)@en[nonce]] 引数 (auth-param)
** 仕様書
[REFS[
- [3] [CITE@en[RFC 7616 - HTTP Digest Access Authentication]] ([TIME[2015-11-10 07:05:08 +09:00]] 版) <https://tools.ietf.org/html/rfc7616#section-3.3>
]REFS]
** 意味
[10] [[nonce]] は、 [CODE(HTTP)[[[401]]]] [[応答]]の作成の度に毎回固有に[[生成]]するべき、
[[サーバー]]が指定する[[文字列]]です。 [SRC[>>3]]
[14] [[nonce]] は[[クライアント]]にとっては[[不透明]]です [SRC[>>3]]。
** 構文
[17] [CODE(ABNF)@en[[[auth-param]]]]
の[[引用文字列]]構文を使わなければ[['''なりません''']] [SRC[>>3]]。
[11] [[nonce]] は、 [[Base64]] や[[十六進数]]で表記した[[文字列]]とすると[RUBYB[いいです]@en[advise]]。
[SRC[>>3]]
[12] 具体的な内容は、[[実装依存]]です [SRC[>>3]]。
** 文脈
[15] [CODE(HTTP)@en[[[nonce]]]] [[引数]]は、[[ダイジェスト認証]]の [[challenge]]
に指定できます [SRC[>>3]]。
** 処理
[13] 実装は、[[replay攻撃]]を防ぐため、前に使われた [[nonce]]
の再利用を認めないこととできます。 [SRC[>>3]]
[16] [CODE[[[response]]]] [[引数]]の値の計算に使われます。
** 歴史
[REFS[
- [1] [CITE@en[RFC 2069 - An Extension to HTTP : Digest Access Authentication]] ([TIME[2012-02-26 10:05:21 +09:00]] 版) <http://tools.ietf.org/html/rfc2069#page-5>
- [4] [CITE@en[RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication]] ([TIME[2012-01-09 21:04:30 +09:00]] 版) <http://tools.ietf.org/html/rfc2617#section-3.2.1>
]REFS]
* nonce (CSP、HTML)
** 歴史
[5] [CITE@en[Bug 26081 – Consider defining or mentioning the nonce attribute]]
( ([TIME[2014-06-14 02:59:38 +09:00]] 版))
<https://www.w3.org/Bugs/Public/show_bug.cgi?id=26081>
[2] [CITE@en[Merge pull request #171 from fmarier/csp2-remove-base64url · b4ab556 · w3c/webappsec]]
([TIME[2015-02-11 16:36:15 +09:00]] 版)
<https://github.com/w3c/webappsec/commit/b4ab55679f2261b05db896bd9399f25bc1314787>
[7] [CITE@en[Call out to CSP's inline element hooks · whatwg/html@ee3486e]]
([TIME[2015-11-08 16:32:08 +09:00]] 版)
<https://github.com/whatwg/html/commit/ee3486eb129bc350b5ca684d0c91dff23453ac1a>
[8] [CITE@en[Define script@nonce and style@nonce attributes · whatwg/html@882803c]]
([TIME[2015-11-12 00:04:23 +09:00]] 版)
<https://github.com/whatwg/html/commit/882803c4cc8fba2fa5472b76f628d95cc82c421d>
[9] [CITE@en[Accept base64url characters in nonces and hashes. · w3c/webappsec-csp@b4c5543]]
([TIME[2015-11-20 18:45:10 +09:00]] 版)
<https://github.com/w3c/webappsec-csp/commit/b4c5543c350417eb24f1f33247defe20e3430643>
* メモ
[6] [CITE@ja-jp[ナンス ‐ 通信用語の基礎知識]]
([TIME[2015-07-14 22:47:40 +09:00]] 版)
<http://www.wdic.org/w/WDIC/%E3%83%8A%E3%83%B3%E3%82%B9>