Si tratta di una violazione della sicurezza?

Cache-Control: private

Indica che tutto o parte del messaggio di risposta è destinato a un singolo utente e NON DEVE essere memorizzato nella cache da una cache condivisa, come un server proxy.

Guardare OWASP: test per la debolezza della cache del browser

Browsers can store information for purposes of caching and history. Caching is used to improve performance, so that previously displayed information doesn't need to be downloaded again. History mechanisms are used for user convenience, so the user can see exactly what they saw at the time when the resource was retrieved. If sensitive information is displayed to the user (such as their address, credit card details, Social Security Number, or username), then this information could be stored for purposes of caching or history, and therefore retrievable through examining the browser's cache or by simply pressing the browser's "Back" button.

OWASP dice che, preferibilmente il Cache-Control è impostato su no-cache . Con Cache-Control: private le informazioni potrebbero comunque essere memorizzate nella cache all'interno del browser. Questo può essere un rischio per la sicurezza se gli utenti tendono a utilizzare computer condivisi. Ciò è particolarmente importante per i siti Web che inviano / visualizzano informazioni sensibili come i dettagli della carta di credito.

Si tratta di una violazione di sicurezza? no. Può essere un rischio di sicurezza? si.

Devi associarti al proprietario del sito web per vedere che tipo di informazioni vengono mostrate e memorizzate e se il controllo della cache dovrebbe essere più restrittivo.