Proxy Caches sÃ£o um desafio para o Internet Security Threat

iBot · #1 (**permalink**) 09-26-2008

Proxy caches, combinados com sessÃµes mal escrito gestÃ£o cÃ³digo, pode facilmente conduzir a graves problemas de seguranÃ§a semelhante ao que temos destacado em Um novo ViolaÃ§Ã£o de SeguranÃ§a no Google Docs Revelado.

Web desenvolvedores nÃ£o tÃªm controle sobre proxy caches na Internet. No entanto, os programadores tÃªm controle do cÃ³digo que escrevem e as suas equipas tÃªm admin configuraÃ§Ã£o do controle de sua servidores web. Os desenvolvedores devem assumir o caso pior cenÃ¡rio Internet Internet cache agressivo com polÃticas de gestÃ£o que servem os dados em cache para o desempenho econÃ³mico e razÃµes.

Este fato da vida na Internet os resultados na web clientes recebendo o conteÃºdo que pode resultar em vÃ¡rios clientes da Web a ser enviada ao mesmo Set-Cookie HTTP cabeÃ§alhos, por exemplo. Cashing servidores proxy deverÃ¡ obter um novo "cookie" para cada novo cliente o pedido. Idealmente, nÃ£o deverÃ¡ proxy caches cache sessÃ£o gestÃ£o cookies e distribuir em cache cookies para vÃ¡rios clientes. No entanto, a aplicaÃ§Ã£o desenvolvedores nÃ£o pode assumir esse proxy caches sÃ£o bem comportados, principalmente para aplicaÃ§Ãµes onde a seguranÃ§a e privacidade sÃ£o necessÃ¡rias.

Desenvolvedores da Web podem nÃ£o saber se o seu conteÃºdo Ã© consumido directamente ou atravÃ©s de um proxy cache. Os desenvolvedores tambÃ©m nÃ£o podemos assumir que o HTTP respostas serÃ£o entregues ao destinados navegador. AlÃ©m disso, os promotores nÃ£o podem ter a certeza que o mesmo receba o navegador destinados conteÃºdo. Por exemplo, uma sessÃ£o ID emitida para um cliente recebe utilizada enquanto ele Ã© vÃ¡lido ou atÃ© abandonado e vencido. Se ele Ã© servido e entregue em resposta a uma solicitaÃ§Ã£o HTTP GET nÃ£o criptografada, nÃ£o hÃ¡ nenhuma garantia de que serÃ£o consumidos pela destinados navegador.

Idealmente, o SSL deve ser usado em todas as operaÃ§Ãµes na web que exigem confidencialidade e privacidade, incluindo a nossa recente Google Docs violaÃ§Ã£o. Por outro lado, mesmo a SSL nÃ£o Ã© infalÃvel. Por exemplo, muitos desenvolvedores web nÃ£o corrigirem o conjunto "SÃ³ Encriptados Sessions" cookie propriedade. Estes incorrectamente configurado "segura" servidores irÃ£o enviar cookies HTTPS em aberto, nÃ£o criptografada.

Haver dragÃµes ... ..

Mais UNIX e Linux FÃ³rum TÃ³picos VocÃª pode achar Helpfull
Fio	Thread Starter	FÃ³rum	Respostas	Ãšltima postagem
Microsoft Security Advisory (956187): Maior AmeaÃ§a para DNS Spoofing Vulnerability	iBot	Alertas de SeguranÃ§a (RSS) - Microsoft	0	07-25-2008 02:20
Microsoft Security Advisory (953818): Blended AmeaÃ§a de Ataque Combinado Utilizando Apple	iBot	Alertas de SeguranÃ§a (RSS) - Microsoft	0	06-20-2008 05:00
Microsoft Security Advisory (953818): Blended AmeaÃ§a de Ataque Combinado Utilizando Apple	iBot	Alertas de SeguranÃ§a (RSS) - Microsoft	0	06-02-2008 08:30
Microsoft Security Advisory (953818): Blended AmeaÃ§a de Ataque Combinado Utilizando Apple	iBot	Alertas de SeguranÃ§a (RSS) - Microsoft	0	06-02-2008 07:20
Os dez principais ameaÃ§as de seguranÃ§a para 2008 (Parte 4) - a principal ameaÃ§a	iBot	Complex Event Processing RSS NotÃcias	0	11-19-2007 02:50

Thread Tools	Pesquisar este Thread
Show Printable Version Enviar esta pÃ¡gina	Pesquisar este Thread: Pesquisa AvanÃ§ada
Display Modes	Esta taxa Thread
Mude para o Modo Linear Hybrid Mode Switch to Threaded Mode	Esta taxa Thread:


	Powered by