Le pagine di accesso dovrebbero essere memorizzate nella cache?

4

Sto considerando i relativi vantaggi / svantaggi nel rendere una pagina di login memorizzabile nella cache. Tieni presente che mi riferisco alla pagina contenente il modulo in cui l'utente inserisce il nome utente e la password.

Certamente non aggiunge alcuna protezione contro lo stripping SSL (la pagina HTTP viene considerata come un'entità separata dall'età HTTPS per scopi di memorizzazione nella cache).

Sembrerebbe aggiungere valore alla protezione del modulo dalla modifica di certificati non autorizzati e potenzialmente a problemi futuri in SSL, sebbene possa solo migliorare l'integrità del modulo per l'immissione dei dati, che deve quindi essere inviato su un compromesso connessione. Questo annulla tutti i vantaggi del caricamento della pagina dalla cache locale?

Ho trovato questo report che afferma che la memorizzazione nella cache della pagina di accesso è una vulnerabilità, sulla base del fatto che " Non è consigliabile abilitare il browser Web per salvare le informazioni di accesso, poiché queste informazioni potrebbero essere compromesse quando esiste una vulnerabilità "- tuttavia la pagina di accesso è sicuramente il modulo one che davvero non vogliamo pre-compilare prima di inviare al browser? OTOH ci sarebbero problemi nell'usare un meccanismo basato su sfida / risposta in cui la sfida è emessa all'interno della pagina di accesso - ma poi semplicemente non funzionerà invece di compromettere la sicurezza.

Non apre un nuovo vettore di attacco tramite la cache del browser - questo esiste già quando la pagina viene servita come non memorizzabile nella cache (sebbene potenzialmente rende un attacco di questa radice un po 'più semplice se la pagina è già nella cache ).

C'è un vantaggio / svantaggio significativo che ho trascurato qui?

    
posta symcbean 28.01.2014 - 12:55
fonte

3 risposte

2

Secondo OWASP Application Security qualsiasi pagina che può avere informazioni sensibili non dovrebbe essere memorizzata nella cache se è accessibile ai computer condivisi pubblici come le librerie.

link

Qualsiasi pagina dopo che l'utente ha effettuato l'accesso è molto più sensibile e candidata per la no-cache rispetto alla pagina di accesso in sé (poiché la pagina di accesso è pubblica).

Penso che nel rapporto "Pagina di login memorizzabile in cache" abbiano mescolato due concetti. Un concetto è la memorizzazione nella cache delle informazioni sensibili come incluse nella pagina stessa. L'altro è la memorizzazione nella cache delle informazioni di login e password, come parte della configurazione del browser. Che io sappia, una direttiva non influisce sull'altra (ovvero, considerando che la pagina come non memorizzabile nella cache non influirà sulla possibilità per l'utente di memorizzare la password sul profilo del browser).

Per chiedere al browser di non memorizzare le informazioni di accesso, puoi utilizzare l'attributo di completamento automatico = 'off'.

link

    
risposta data 28.01.2014 - 13:34
fonte
2

La pagina di accesso non è login informazioni ; quest'ultimo dovrebbe essere messo in cache solo con molta cautela. Ma la pagina stessa non è un segreto; tutti possono ottenerlo Pertanto, non vi è alcun problema nell'applicare a quella pagina lo stesso meccanismo di memorizzazione nella cache di tutte le altre pagine.

Per quanto riguarda la protezione extra, non contare su di essa. Se l'utente malintenzionato può infrangere l'SSL in qualche modo, può fornire all'utente una pagina falsa, perché è così che funziona in gran parte la cache HTTP: il client richiede una pagina ma afferma che ha già una copia dalla data T ; il server può quindi rispondere "puoi riutilizzare la vecchia copia" o inviarne una nuova.

    
risposta data 28.01.2014 - 13:19
fonte
0

Considera uno scenario in cui penso che la memorizzazione nella cache della pagina di accesso stessa possa costituire un problema.

prendendo esempio di un'applicazione in cui all'utente viene presentato il modulo di accesso e viene richiesto di accedere utilizzando la sua e-mail e la password. Se l'e-mail o la password sono disattivati anche di 1 carattere, l'accesso non riesce. Alcune applicazioni potrebbero quindi inviare la parte posteriore della e-mail e della password come parte della risposta al browser per la correzione e la nuova presentazione. Poiché la stessa pagina di login è in grado di cache, anche la posta elettronica e la password potrebbero essere salvate nella cache.

Nota: non l'ho ancora provato, quindi sentitevi di condividere il vostro pensiero su questo.

    
risposta data 13.01.2015 - 14:15
fonte

Leggi altre domande sui tag