Proxy-Caches, kombiniert mit schlecht geschrieben Sitzungen Management Code, können leicht zu schwerwiegenden Sicherheitslücken, wie wir in Eine neue Sicherheitslücke in Google Text & Tabellen Revealed.

Web-Entwickler haben keine Kontrolle über die Proxy-Caches im Internet. Doch die Entwickler haben Kontrolle über den Code schreiben sie und ihre Teams haben admin-Konfiguration der Steuerung ihrer Web-Servern. Entwickler müssen davon ausgehen, das Worst-Case-Szenario Internet mit aggressiven Internet-Cache-Management-Maßnahmen, die im Cache gespeicherten Daten dienen für die Wirtschafts-und Performance-Gründen.

Diese Tatsache des Lebens auf der Internet-Ergebnisse in Web-Clients erhalten könnte dazu führen, dass die Inhalte in mehreren Web-Clients gesendet werden die gleichen Set-Cookie HTTP-Header, zum Beispiel. Caching-Proxy-Server sollte einen neuen Cookie erhalten, für die jede neue Client-Anfrage. Im Idealfall, Proxy Cache sollte nicht Session-Management-Cache und Cookies im Cache gespeicherten Cookies zu verteilen mehrere Clients. Allerdings Anwendung Entwickler können nicht davon ausgehen, dass Proxy-Caches sind gut erzogen, vor allem für Anwendungen, bei denen Sicherheit und Datenschutz sind erforderlich.

Web-Entwickler können nicht wissen, ob ihr Inhalt verbraucht wird, direkt oder über einen Proxy-Cache. Entwickler können auch nicht davon ausgehen, dass die HTTP-Antworten werden an den vorgesehenen Browser. Darüber hinaus können Entwickler nicht sicher sein, dass die Browser, die auch mit der betreffenden Inhalte. Zum Beispiel, eine Session-ID, die einem Client wird verwendet, während sie gültig ist oder bis zu verlassen und abgelaufen. Wenn es serviert wird, und in Reaktion auf eine unverschlüsselte HTTP-GET-Anfrage, es gibt keine Garantie, es wird konsumiert, die für das Web-Browser.

Im Idealfall, SSL verwendet werden soll für alle Web-Transaktionen, die Vertraulichkeit und der Privatsphäre, einschließlich unserer jüngsten Google Text & Tabellen-Verletzung. Auf der anderen Seite, auch SSL ist nicht narrensicher. Zum Beispiel, viele Web-Entwickler nicht die richtige "Verschlüsselte Sessions Nur" Cookie Eigentum. Diese falsch konfiguriert "sicheren" Server senden HTTPS Cookies in die offene, unverschlüsselt.

Es werden Drachen ... ..





Mehr ...