مساعد عناوين معتمد

Proposal 135
Open
Author zzz
Created 2017-02-25
Last Updated 2017-02-25

نظرة عامة

تضيف هذه الاقتراح آلية توثيق إلى روابط مساعد العناوين.

الدافع

روابط مساعد العناوين بطبيعتها غير آمنة. بإمكان أي شخص وضع معلمة مساعد العناوين في رابط، حتى مع صورة، ويمكنه وضع أي وجهة في معلمة URL لمساعد العنوان “i2paddresshelper”. اعتماداً على تنفيذ وكيل HTTP للمستخدم، قد يتم قبول خريطة الاسم المضيف/الوجهة هذه، إذا لم تكن موجودة حالياً في دفتر العناوين، سواءً بوجود شاشة وسيطة للمستخدم للقبول أو بدونها.

التصميم

سوف تقدم خوادم القفز الموثوقة وخدمات تسجيل دفاتر العناوين روابط جديدة لمساعد العنوان تضيف معلمات توثيق. ستتكون المعلمتان الجديدتان من توقيع Base 64 وسلسلة موقعة بواسطة.

ستقوم هذه الخدمات بإصدار وتوفير شهادة مفتاح عام. ستكون هذه الشهادة متاحة للتنزيل والدمج في برامج وكيل HTTP. سيقوم المستخدمون ومطورو البرامج بتحديد ما إذا كانوا يثقون بمثل هذه الخدمات عن طريق تضمين الشهادة.

عند مواجهة رابط مساعد العنوان، سيتحقق وكيل HTTP من المعلمات الإضافية للتوثيق، ويحاول التحقق من صحة التوقيع. عند نجاح التحقق، سيتابع الوكيل العمل كما كان من قبل، إما بقبول الإدخال الجديد أو عرض شاشة وسيطة للمستخدم. في حالة فشل التحقق، يمكن للوكيل رفض مساعد العنوان أو عرض معلومات إضافية للمستخدم.

إذا لم تكن المعلمات التوثيق موجودة، يمكن لوكيل HTTP قبولها، رفضها، أو تقديم معلومات للمستخدم.

ستظل خدمات القفز موثوقة كالمعتاد، ولكن مع خطوة التوثيق الإضافية. يجب تعديل روابط مساعد العنوان في المواقع الأخرى.

التأثيرات الأمنية

يضيف هذا الاقتراح أماناً عن طريق إضافة توثيق من خدمات التسجيل / القفز الموثوقة.

المواصفات

سيتم التحديد لاحقاً.

يمكن أن تكون المعلمتان الجديدتان هما i2paddresshelpersig وi2paddresshelpersigner؟

أنواع التوقيعات المقبولة سيتم التحديد لاحقاً. ربما ليس RSA حيث ستكون التوقيعات Base 64 طويلة جداً.

خوارزمية التوقيع: سيتم التحديد لاحقاً. ربما فقط hostname=b64dest (نفس الاقتراح 112 لتوثيق التسجيل)

معلمة ثالثة جديدة محتملة: سلسلة توثيق التسجيل (الجزء بعد “#!”) التي ستستخدم للتحقق الإضافي من قبل وكيل HTTP. يجب أن يتم تحويل أي “#” في السلسلة إلى “#” أو “#"، أو أن يتم استبدالها بشخصية أخرى URL-safe يتم تحديدها (سيتم التحديد لاحقاً).

الانتقال

وكلاء HTTP القديمة التي لا تدعم معلمات التوثيق الجديدة ستتجاهلها، وتمررها إلى خادم الويب، مما يجب أن يكون غير ضار.

وكلاء HTTP الجديدة التي تدعم معلمات التوثيق اختيارياً ستعمل بشكل جيد مع روابط مساعد العنوان القديمة التي لا تحتوي عليها.

وكلاء HTTP الجديدة التي تتطلب معلمات التوثيق لن تسمح بروابط مساعد العنوان القديمة التي لا تحتوي عليها.

قد تتطور سياسات تنفيذ الوكيل على مدار فترة الانتقال.

القضايا

لا يمكن لمالك الموقع إنشاء مساعد عنوان لموقعه الخاص، حيث يحتاج إلى توقيع من خادم القفز الموثوق. سيتعين عليه تسجيله على الخادم الموثوق والحصول على رابط مساعد عنوان متم توثيقه من هذا الخادم. هل هناك طريقة للموقع لإنشاء رابط مساعد عنوان معتمد ذاتياً؟

كبديل، يمكن للوكيل التحقق من Referer لطلب مساعد العنوان. إذا كان المرجع موجوداً، يحتوي على b32، وb32 تتطابق مع وجهة المساعد، فيمكن
السماح به كإحالة ذاتية. خلافاً لذلك يمكن افتراض أنه طلب من طرف ثالث، ورفضه.