Proxy cache mal écrit combiné avec des séances de gestion de code, peut facilement, à de graves failles de sécurité similaire à ce que nous avons mis en évidence dans Une nouvelle brèche de sécurité dans Google Docs Revealed.

Les développeurs Web qui n'ont pas de contrôle sur les proxy caches dans l'Internet. Cependant, les développeurs ont le contrôle du code qu'ils écrivent et leurs équipes d'administration ont le contrôle de la configuration de leurs serveurs Web. Les développeurs doivent assumer le pire des cas, Internet scénario agressif avec les politiques de gestion de cache Internet qui servent pour la mise en cache des données économiques et des raisons de performances.

Cette réalité de la vie sur l'Internet dans les résultats Web de clients recevant un contenu qui pourrait donner lieu à de multiples clients web d'être envoyées le même Set-Cookie-têtes HTTP, par exemple. La mise en cache des serveurs proxy doivent obtenir un nouveau cookie pour chaque nouveau client demande. Idéalement, les caches ne devrait pas proxy cache de gestion de session des cookies et cache des cookies pour distribuer des clients multiples. Cependant, les développeurs d'applications ne peut pas supposer que proxy caches sont bien comportés, en particulier pour les applications où la sécurité et de la vie privée sont requis.

Les développeurs Web peuvent ne pas savoir si leur contenu est consommée directement ou par l'intermédiaire d'un proxy cache. Les développeurs ne peuvent pas non plus présumer que les réponses HTTP seront livrés à l'intention navigateur. En outre, les développeurs ne peuvent pas être sûr que le navigateur reçoit même le contenu. Par exemple, un ID de session est délivré à un client est utilisé alors qu'il est valide ou jusqu'à ce qu'il soit abandonné et a expiré. Si elle est servie et livrée en réponse à une requête HTTP GET clair, il n'y a aucune garantie, il sera consommé par le navigateur Web.

Idéalement, SSL doit être utilisé sur toutes les transactions effectuées sur le Web qui exigent la confidentialité et la protection de la vie privée, y compris nos dernières Google Docs violation. D'autre part, même SSL n'est pas infaillible. Par exemple, de nombreux développeurs web ne sont pas correct de la série "Encrypted Sessions seulement« témoin de propriété. Ces mal configuré "sécuriser" les serveurs HTTPS envoyer des cookies à l'air libre, en clair.

Il sera dragons ... ..





Plus d'informations ...