Comprendo che i dati sensibili non devono essere memorizzati nella cache (ovvero non si desidera memorizzare nella cache un file HTML con tutti i dettagli del proprio conto bancario), ma ci sono alcune cose che i siti protetti HTTPS dovrebbero essere in grado di memorizzare nella cache (Javascript , CSS, immagini, ecc.). Tomcat non sembra consentire agli sviluppatori di definire esplicitamente un file da memorizzare nella cache una volta abilitato SSL / TLS, e capisco che anche se lo facessero, il browser dell'utente utilizza solo una cache in memoria per le sessioni HTTPS e scarta tutto una volta terminata la sessione. Con tutto il Web 2.0 che sta succedendo, mi sembra che gli operatori del sito sarebbero interessati a questa capacità di ridurre i carichi sui loro siti (così come il tempo di caricamento della pagina) mantenendo la "barra verde" nel browser dell'utente che dà ci sentiamo tutti dentro una sensazione calda e confusa.
UPDATE: rimossi i bit sulla convalida dei file memorizzati nella cache con un HMAC poiché sarebbe inutile. Se l'attaccante sta sfruttando una qualche forma di collisione hash, non importa se l'hash viene calcolato con una chiave segreta o meno.