Proxy hurtigbufrer, kombinert med dårlig skrevet økter ledelsen koden, kan lett føre til alvorlige sikkerhet mangler i likhet med hva vi fremhevet i Et nytt brudd på sikkerheten i Google Docs Avdekket.

Webutviklere har ingen kontroll over proxy hurtigbufrer på Internett. Men utviklerne har kontroll av koden de skriver og deres admin team har konfigurasjon kontroll over sine webservere. Utviklere må anta verste fall Internet scenario med aggressive Internet cache ledelse politikk som serverer hurtigbufrede data for økonomiske og ytelsesgrunner.

Dette faktum av liv på Internett resultater i web klienter som mottar innhold som kan resultere i flere web klienter sendes samme Set-Cookie HTTP-hoder, for eksempel. Hurtigbufring proxy-servere bør få et friskt cookie for hver nye klient forespørsel. Ideelt proxy hurtigbufrer ikke bør cache session management cookies og distribuere hurtigbufrede cookier til flere kunder. Men programmet utviklere kan ikke anta at proxy hurtigbufferne godt opptrådt, spesielt for applikasjoner der sikkerhet og personvern er nødvendig.

Webutviklere kan ikke vite om innholdet er fortært direkte eller via en proxy cache. Utviklere kan heller ikke anta at HTTP-svar vil bli levert til beregnet nettleseren. Videre utviklere kan ikke være sikker på at den tiltenkte leseren selv får av innhold. For eksempel en økt-ID utstedt til en klient blir brukt, mens den er gyldig eller til forlatte og utløpt. Hvis den blir servert, og leveres i henhold til et ukryptert HTTP GET-forespørsel, er det ingen garanti for det vil bli fortært av riktig nettleser.

Ideelt SSL bør brukes på alle web-transaksjoner som krever konfidensialitet og personvern, inkludert de siste Google Dokumenter brudd. På den annen side, selv SSL er ikke idiotsikker. For eksempel, mange webutviklere ikke riktig sette "Kryptert Sessions Only" cookie eiendom. Disse feilkonfigurert "sikre" serverne sender HTTPS informasjonskapsler i den åpne, ukryptert.

Det være drager ... ..





Mer ...