読者です 読者をやめる 読者になる 読者になる

TLSチャンネルID 翻訳 - 7. Use Cases

TLSチャンネルIDの翻訳シリーズの第6回です。「7. Use Cases」の翻訳結果を投稿します。

シリーズの過去の記事は、 以下を参照ください。
第1回:「TLSチャンネルID 翻訳 - 1. introduction」
第2回:「TLSチャンネルID 翻訳 - 2. Why not client certificates」
第3回:「TLSチャンネルID 翻訳 - 3. Requirements Notation / 4. Channel ID Client Keys」
第4回:「TLSチャンネルID 翻訳 - 5. Channel ID Extention」
第5回:「TLSチャンネルID 翻訳 - 6. Security Considerations」


7. ユースケース

7. Use Cases

7. 1. チャンネルに結びつけたCookie

7.1. Channel-Bound Cookies

An HTTP application on the server can channel-bind its cookies by associating them with the Channel ID of the user-agent that the cookies are being set on. The server MAY then choose to consider cookies sent from the user-agent invalid if the Channel ID associated with the cookie does not match the Channel ID used by the user-agent when it sends the cookie back to the server.

サーバーで動作するHTTPのアプリケーションは、cookieがセットされたuserーagentのChannel IDを、(cookieに)関連づけることによって、cookiechannel-bindにすることができる。サーバーは、cookieに紐付けられたChannel IDが、cookieをサーバーに送り返してきたuserーagentで使用されているChannel IDと一致しない場合に、userーagentから送られたcookieを無効と見なしてもよい(MAY)。

Such a mismatch could occur when the cookie has been obtained from the legitimate user-agent and is now being sent by a client not in possession of the legitimate user-agent's Channel ID private key. The mismatch can also occur if the legitimate user-agent has changed the Channel ID it is using for the server, presumably due to the user requesting a Channel ID reset through the user-agent's user interface (see Section 8). Such a user intervention is analogous to the user's removal of cookies from the user-agent, but instead of removing cookies, the cookies are being rendered invalid (in the eyes of the server).

このような不整合は、cookieが正規のuserーagentから取得され、正規のuserーagentのChannel IDの秘密鍵を保持していないクライアントから(そのcookieが)送付された場合に起こりうる。この不整合は、正規のuserーagentが、おそらくユーザーがuserーagentのインターフェースからリセットを要求することによって、サーバーに対して使用しているChannel IDを変更した場合にも起こりうる(Section 8を参照)。このようなユーザーの介入は、ユーザーがuserーagentからcookieを削除することに類似しているが、cookieを削除する代わりに、(サーバーの視点では)cookieが無効として扱われる。

7. 2. チャンネルに結びつけたOAuthトークン

7.2. Channel-Bound OAuth Tokens

Similarly to cookies, a server may choose to channel-bind OAuth tokens (or any other kind of authorization tokens) to the clients to which they are issued. The mechanism on the server remains the same (it associates the OAuth token with the client's Channel ID either by storing this information in a database, or by suitably encoding the information in the OAuth token itself), but the application-level protocol may be different: In addition to HTTP, OAuth tokens are used in protocols such as IMAP and XMPP.

cookieと同じように、サーバーは、発行先のクライアントに対するchannel-bindなOAuthトークン(または、他の任意の認可トークン)を選択してもよい。サーバー上の機構は同じ(データベースにこの情報*1を保存するか、OAuthトークン自身の中にしかるべき方法でエンコードすることによって、OAuthトークンをクライアントのChannel IDに紐付ける)であるが、アプリケーションレベルのプロトコルは異なるかもしれない:HTTPに加えて、OAuthトークンはIMAPXMPPのようなプロトコルでも用いられる。

*1:「この情報」は、Channel ID を指しているものと思われる。