Sto considerando i relativi vantaggi / svantaggi nel rendere una pagina di login memorizzabile nella cache. Tieni presente che mi riferisco alla pagina contenente il modulo in cui l'utente inserisce il nome utente e la password.
Certamente non aggiunge alcuna protezione contro lo stripping SSL (la pagina HTTP viene considerata come un'entità separata dall'età HTTPS per scopi di memorizzazione nella cache).
Sembrerebbe aggiungere valore alla protezione del modulo dalla modifica di certificati non autorizzati e potenzialmente a problemi futuri in SSL, sebbene possa solo migliorare l'integrità del modulo per l'immissione dei dati, che deve quindi essere inviato su un compromesso connessione. Questo annulla tutti i vantaggi del caricamento della pagina dalla cache locale?
Ho trovato questo report che afferma che la memorizzazione nella cache della pagina di accesso è una vulnerabilità, sulla base del fatto che " Non è consigliabile abilitare il browser Web per salvare le informazioni di accesso, poiché queste informazioni potrebbero essere compromesse quando esiste una vulnerabilità "- tuttavia la pagina di accesso è sicuramente il modulo one che davvero non vogliamo pre-compilare prima di inviare al browser? OTOH ci sarebbero problemi nell'usare un meccanismo basato su sfida / risposta in cui la sfida è emessa all'interno della pagina di accesso - ma poi semplicemente non funzionerà invece di compromettere la sicurezza.
Non apre un nuovo vettore di attacco tramite la cache del browser - questo esiste già quando la pagina viene servita come non memorizzabile nella cache (sebbene potenzialmente rende un attacco di questa radice un po 'più semplice se la pagina è già nella cache ).
C'è un vantaggio / svantaggio significativo che ho trascurato qui?