Perché i browser cancellano i moduli HTML quando l'utente fa clic sul pulsante Indietro su una connessione HTTPS?

2

Ci sono già un paio di domande su questo comportamento

Nessuno di essi spiega perché gli sviluppatori del browser X progettano il comportamento del browser per reimpostare i moduli HTML quando si preme il pulsante Indietro per le pagine visualizzate tramite la connessione HTTPS. Qualcosa relativo alla sicurezza qui? o è solo perché l'utilizzo di HTTPS suggerisce che i dati sono molto sensibili?

    
posta Ulkoma 19.01.2015 - 16:38
fonte

1 risposta

2

Alcune volte, i dati del modulo possono essere dinamici. Esempio, solo quando selezioni un Paese, il menu a discesa per selezionare uno stato sarà abilitato. Ora per sapere realmente quali valori devono essere compilati nel menu "stato", le informazioni sul "Paese" appena selezionato verranno inviate al server. il server invierà quindi al client un elenco di tutti gli stati che rientrano nel paese e popolerà il menu a discesa.

Ora, tutti questi scambi di informazioni tra il client (browser Web) e il server vengono eseguiti tramite il canale crittografato tramite SSL. Quando si fa clic sul pulsante "indietro", la sessione SSL corrente viene invalidata. E tutti i dati scambiati su quella sessione non devono più essere validi. Anche se si desidera avere di nuovo gli stessi valori quando si visita la pagina la volta successiva, questi valori devono essere comunicati tramite un canale protetto utilizzando una chiave di sessione diversa. (Ad esempio, verrà avviato un nuovo handshake SSL, con conseguente nuova pre le chiavi master, master e di sessione e i dati del modulo HTML verranno crittografati con nuove chiavi.)

Quindi, per impedire che i dati della vecchia sessione SSL vengano utilizzati nella sessione SSL corrente, i dati del modulo verranno cancellati.

Si noti che a volte, i cookie e i ticket di sessione verranno utilizzati per conservare i dati del modulo / le chiavi di sessione. Ma i server generalmente non supportano i ticket di sessione, piuttosto incoraggiano ad avere una sessione separata.

    
risposta data 09.02.2015 - 20:36
fonte

Leggi altre domande sui tag