1
私たちは、外部の企業にWebアプリケーションに関するセキュリティリスクレポートを作成させ、キャッシュ可能なHTTPS応答を許可することが「中程度の」セキュリティリスクであると述べました。キャッシング可能なHTTPSレスポンスを許可するWebサーバーがセキュリティ上のリスクを負っていますか?
この評価に満足するでしょうか?
A
答えて
2
データが真に安全である必要がある場合は、キャッシュするのが悪い考えです。
たとえば、ユーザーの銀行の明細であれば、それがサーバーにキャッシュされている場合、それは(データが格納されているデータベースに加えて)別の場所ですひび割れ。
本当に安全である必要がない場合は、セキュアにする必要があり、キャッシュされないもの(httpsで提供されるページのイメージなど)をhttpsに渡すだけです。
+1
良い点は、私が投稿する前にそれについて考えていたのですが、敵がすでにWebサーバープロセスのメモリにアクセスできる場合、ゲームは既に失われています。 –
1
レスポンスのサーバー側のキャッシュは、httpsが暗号化に使用するSSL/TLSとは異なるレイヤーで起こっているため、OKである必要があります。
関連する問題
- 1. 表示可能な.gitフォルダはセキュリティ上のリスクですか?
- 2. 401サーバー上でのみ許可されていないWebメソッド
- 3. Webサーバー上のファイルのアクセス許可?
- 4. サーバー上のフォルダに対するIUSR * NTFSアクセス許可を与えるリスク
- 5. http:Webサービスのセキュリティ上のリスクのエンドポイントを持っています
- 6. キャッシングHttpsレスポンス
- 7. ポリシーファイルのJavaセキュリティ許可の許可
- 8. Compute Engineインスタンス上のサーバーの解析可能な負荷量
- 9. Spring WEBセキュリティ:アクセス可能なURLのリスト
- 10. FIWARE - アプリケーションへの不正アクセスを可能にする一般的な許可を持つキーロックトークン(セキュリティ上の問題?)
- 11. WCF障害がセキュリティ上のリスクを負うため、.NET例外を使用していますか?
- 12. 春のセキュリティを使用するWebサイトのグループアクセス許可 - デザインクエリ
- 13. Mac/Apache Webサーバーのフォルダのアクセス許可をリセットしますか?
- 14. debug = "true"のWebアプリケーションを実行するセキュリティ上のリスクはありますか?
- 15. セキュリティ上の懸念については、クロスサイトクッキーを許可するブラウザプロバイダは許されますか?
- 16. Gmailサーバーの許可方法が許可されていないメールサーバー
- 17. javascriptの「偽のプライバシー」はセキュリティ上のリスクを伴いますか?
- 18. なぜCORSによってオーディオファイル(MP3)がブロックされていますか?セキュリティ上のリスクは何ですか?
- 19. 入力検証セキュリティ - http://またはhttps://は許可されていません。
- 20. setで可変オブジェクトが許可されていない場合、なぜリストを許可するのですか?
- 21. Robots.txtフォルダを許可しないがサブフォルダを許可する
- 22. WebサーバーへのWordPress Permanantアクセスを許可します。
- 23. .htaccessを許可する "localhost" apacheサーバーを探しています
- 24. Webサーバーで可能なすべてのHTTPリクエストを知ることは可能ですか?
- 25. WebフォームはHTMLフォームのネストを許可していますか?
- 26. FTPアクセス可能なWebサーバーを使用しているGitホスティングですか?
- 27. https接続を許可する
- 28. デプロイ完了前にキャッシング可能なキャッシングアノテーションが機能しない
- 29. AzureサーバーコアVMのリモートWebサーバー管理を許可する
- 30. どのバージョンコントロールがファイルレベルでのアクセス許可を許可していますか?
レスポンスは誰にキャッシュできますか?サーバー、クライアント? – Gumbo
サーバーはHTTPS応答のキャッシュを許可します – c00ke