Proxy cachelagrer kombineret med dårligt skrevet Samling kode, nemt kan føre til alvorlige sikkerhedsmæssige mangler i lighed med, hvad vi fremhævet i A New sikkerhedsbrud i Google Docs afsløret.

Web-udviklere har ingen kontrol over proxy cacher på internettet. Men udviklerne har kontrol med den kode, de skriver og deres admin hold har kontrol med udformningen af deres web-servere. Bygherren skal påtage sig det værst tænkelige Internet scenario med aggressive Internet cache styringspolitikker at tjene cached data for den økonomiske og driftsmæssige årsager.

Denne realitet på internettet resultater i webklienter modtage indhold, som kan resultere i flere web-klienter bliver sendt samme Set-Cookie HTTP overskrifter, f.eks. Caching proxy-servere bør få en ny cookie for hver ny kunde anmodning. Ideelt set proxy cachelagrer bør ikke cache session forvaltning cookies og distribuere cachelagrede cookies til flere kunder. Men programudviklere kan ikke antage, at proxy-cacher er velopdragen, især for applikationer, hvor sikkerhed og privatlivets fred er nødvendige.

Web-udviklere kan ikke vide, om deres indhold forbruges direkte eller via en proxy cache. Udviklere kan heller ikke antage, at HTTP-svar vil blive leveret til den påtænkte browser. Desuden udviklere kan ikke være sikker på, at det bestemt browser selv modtager bestemt indhold. For eksempel vil en session ID er udstedt til en klient bliver brugt, mens den er gyldig eller indtil opgivet og udløb. Hvis den er serveret og leveret i forbindelse med et ukrypteret HTTP GET-anmodning, er der ingen garanti for det vil blive forbrugt af bestemt webbrowser.

Ideelt set SSL bør anvendes på alle web-transaktioner, der kræver fortrolighed og privatliv, herunder vores nylige Google Docs brud. På den anden side, selv SSL er ikke idiotsikker. For eksempel har mange webudviklere ikke korrekt indstille "Encrypted Sessions Kun" cookie ejendom. Disse forkert konfigureret som "sikker" servere sender HTTPS cookies i det åbne, ikke-krypterede.

Der skal drager ... ..





Mere ...