Su uno dei miei server web, ho impostato una directory protetta da password utilizzando il noto meccanismo .htaccess / .htpasswd . Il server web viene eseguito da Apache 2.4.10 sotto Debian jessie, se questo è importante. Lo snippet pertinente dalla configurazione dell'host virtuale:
<Directory "/home/www/path/to/protected/directory">
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
</Directory>
Ora, quando apro un documento da quell'area protetta usando Firefox, Firefox richiede le credenziali. Fin qui, tutto bene.
Ma quando cancello i dati di login e la cache di Firefox, usando Strumenti - > Opzioni - > Privacy e amp; Sicurezza - > Cancella dati - > Cancella (con entrambi gli elementi nella finestra di dialogo selezionata), quindi riapri lo stesso documento o qualsiasi altro documento dall'area protetta, Firefox mostra quel documento senza chiedere nuovamente le credenziali .
In altre parole, Firefox non cancella la sua cache quando viene istruito a farlo, o non cancella quello che chiama "Dati del sito" quando viene istruito a farlo.
Se ho ragione, si tratta di una grave violazione della sicurezza. Un utente ragionevole sa che (quando non si utilizza il proprio dispositivo privato, ad esempio quando si usa un PC in un internet cafè) i dati di login e di cache del browser devono essere cancellati dopo aver utilizzato il browser per accedere alle aree protette da password e si basa sul fatto che questo funziona .
L'unico modo per far dimenticare a Firefox tali accessi sembra essere quello di cancellare prima la cache e i cookie e i dati del sito come descritto sopra e quindi chiudere immediatamente l'applicazione (File - > Esci).
Ma questa non è una vera soluzione al problema. Se ordino a un browser di cancellare la cache e i cookie e i dati del sito, mi aspetto che immediatamente dimentichi tutte le credenziali senza riavviare. Periodo.
L'ho provato con Firefox 61.0.2 (la versione più recente al momento in cui scrivo) sotto Windows 7.
A proposito, Chrome ha ragione.
Infine, per evitare equivoci:
Il precedente solo riguarda le credenziali per le aree che sono protette da .htaccess , vale a dire dove il browser stesso chiede le credenziali. Tutti i siti che implementano il controllo degli accessi tramite i cookie di sessione sono non interessati dal problema, perché (per quanto posso dire) Firefox cancella infatti tutti i cookie non appena vengono cancellati i suoi dati come descritto sopra.
Cosa ne pensi di questo? È un problema di sicurezza?