Proxy cachar, i kombination med dåligt skrivna sammanträdesperioder förvaltning kod, kan lätt leda till allvarliga säkerhets-brister som liknar det som vi belyst i Ett nytt brott mot säkerheten i Google Docs Revealed.

Webbutvecklare har ingen kontroll över proxy cachar på Internet. Men utvecklarna har kontroll över koden skriver de och deras admin grupper har konfigurationskontroll av sina webbservrar. Utvecklare måste ta värsta fall Internet scenario med aggressiva Internet cache förvaltningsstrategierna att tjäna cachade data för ekonomisk och prestandaskäl.

Denna realitet på Internet leder till webben kunder som tar emot innehåll som kan resultera i flera webbklienter skickas samma Set-Cookie HTTP-rubriker, till exempel. Cachning proxyservrar bör få en ny cookie för varje ny kund begäran. Helst, fullmaktshavare cachar inte cache session hantering cookies och distribuera cachade cookies till flera kunder. Men applikationsutvecklare kan inte räkna med att fullmakt cachar är väl agerat, särskilt för applikationer där säkerhet och integritet som krävs.

Webbutvecklare kan inte veta om deras innehåll konsumeras direkt eller via en proxy cache. Utvecklare kan inte heller utgå från att HTTP-svar kommer att levereras till avsett webbläsare. Dessutom har utvecklarna inte kan vara säker på att den planerade läsare även får den avsedda innehåll. Exempelvis kan en session ID utfärdas till en kund får användas när det är giltigt eller tills övergivits och förfallit. Om det serveras och levereras som svar på en okrypterad HTTP GET-begäran, det finns ingen garanti att det kommer att konsumeras av den planerade webbläsare.

Idealet är att SSL ska användas på alla web transaktioner som kräver sekretess och integritet, inklusive vår senaste Google Docs strid. Å andra sidan, även SSL är inte idiotsäker. Exempelvis har många webbutvecklare inte riktigt ställa in "Krypterad Sessioner Endast" cookie egendom. Dessa felkonfigurerad "säkra" servrar skickar HTTPS cookies i de öppna, okrypterat.

Det är drakar ... ..





Mer ...