Un'interfaccia (sito Web / applicazione) che richiede l'autenticazione dovrebbe avere un meccanismo di caching HTTP corretto. In caso contrario, consente a un utente malintenzionato di tornare indietro dopo il logout o di leggere la cache in un altro modo.
Per fare ciò, il server dovrebbe applicare le intestazioni HTTP che richiedono al browser di convalidare (deve riconvalidare) l'origine su ogni richiesta (non di memorizzarla nella cache). In pratica, significa che quando un utente è disconnesso, non dovrebbe essere possibile navigare nel browser (non autorizzato) e vedere il contenuto che deve essere limitato all'utente autenticato.
Qual è la terminologia corretta e il punteggio CVSS di base per un meccanismo di memorizzazione nella cache che consente al browser di memorizzare nella cache il contenuto autenticato?
Suppongo che un punteggio CVSS accettabile potrebbe essere:
- Punteggio base CVSS: 4.0
- Gravità CVSS: media
- Vettore CVSS: CVSS: 3,0 / AV: L / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N