8. Güvenlik Değerlendirmeleri
8.1. HTML ve XHTML İçerik
atom:content
ve Metin oluşumları HTML ve XHTML teslimatını mümkün kılar. Bu dillerdeki çoğu eleman istemcileri bir veya daha fazla saldırı türüne açmalarından dolayı 'güvensiz' sayılır. Atom işleyen yazılım gerçeklenimcileri Atom belgelerinde gelen (X)HTML'yi işlerken her eleman türünün elde edilmesini çok dikkatle ele almalıdırlar. Size rehber olması için [RFC2854] ve [HTML] belgelerinin güvenlik bölümlerine bakınız.
Atom İşlemcileri IMG, SCRIPT, EMBED, OBJECT, FRAME, FRAMESET, IFRAME, META ve LINK elemanlarının güvenliğine gereken dikkati ayrı ayrı göstermelidir ama diğer elemanların da ayrıca olumsuz güvenlik özellikleri olabilir.
(X)HTML doğrudan ya da dolaylı olarak çalıştırılabilir içeriğe başvurabilir.
8.2. URI'ler
URI'leri Atom İşlemciler elde eder. [RFC3986]'nın 7. bölümüne bakınız.
8.3. IRI'ler
IRI'leri Atom İşlemciler elde eder. [RFC3987]'nin 8. bölümüne bakınız.
8.4. Aldatma
Atom İşlemcileri, saldırganın başka bir ulamın atom:id
'sini yineleyen tahrif edilmiş bir atom:source
elemanını kullanarak başka bir ulamdaki bir girdinin atom:id
değeriyle bir atom:entry
yayınlamak şeklindeki aldatma saldırıları olasılığının farkında olmalıdır. Örneğin, Atom İşlemci, eşdeğer atom:id
değerli bir girdi kümesinden sadece bir girdi göstererek yinelenmiş girdi gösterimini bastırabilir. Bu durumda, Atom İşlemci onları yinelenmiş varsaymadan önce aynı yayınlayıcıdan kaynaklanan girdiler olup olmadıklarını saptayacak adımları ayrıca atabilir.
8.5. Şifreleme ve İmzalama
Atom Belgeleri [W3C.REC-xmlenc-core-20021210] ve [W3C.REC-xmldsig-core-20020212] kullarılarak şifrelenebilir, imzalanabilir ve kullanımlarına göre güvenlik değerlendirmelerine örtük konu olur.
Sayısal imzalar kimlik kanıtlama, ileti bütünlüğü ve inkarsız kaynak kanıtı sağlar. Şifreleme ise veri mahremiyeti sağlar.