Wir haben von einem externen Unternehmen einen Sicherheitsrisikobericht in unserer Web-App erstellt und festgestellt, dass das Zulassen von cache-fähigen HTTPS-Antworten ein "mäßiges" Sicherheitsrisiko darstellt.Ist der Webserver mit cache-fähigen HTTPS-Antworten ein Sicherheitsrisiko?
Würden die Leute dieser Einschätzung zustimmen?
Wenn die Daten wirklich sicher sein müssen, dann scheint das Caching eine schlechte Idee zu sein.
Zum Beispiel, wenn es, sagen wir, Bankdetails eines Benutzers ist, dann, wenn das auf dem Server zwischengespeichert wird, dann ist das ein anderer Ort (zusätzlich zu der Datenbank, wo die Daten gespeichert werden) knacken.
Wenn es nicht wirklich sicher sein muss, wird es nur über https mit Sachen, die sicher sein müssen und nicht zwischengespeichert (wie Bilder in der über https belieferte Seite) übergeben, dann denke ich, das ist absolut in Ordnung.
Guter Punkt, ich habe darüber nachgedacht, bevor ich gepostet habe, aber dachte, wenn der Gegner bereits Zugriff auf den Webserver-Prozess 'Speicher hat, ist das Spiel bereits verloren. –
Das serverseitige Zwischenspeichern von Antworten sollte in Ordnung sein, da es auf einer anderen Ebene stattfindet als das SSL/TLS, das https zum Verschlüsseln verwendet.
Die Antworten können von wem? Der Server, der Client? – Gumbo
Server ermöglicht Caching von HTTPS-Antworten – c00ke