Web服务器是否允许可缓存的HTTPS响应存在安全风险?

时间:2009-08-11 10:30:04

标签: security

我们有一家外部公司在我们的网络应用程序上生成安全风险报告,他们表示允许可缓存的HTTPS响应是一种“中等”的安全风险。

人们会同意这种评估吗?

2 个答案:

答案 0 :(得分:2)

如果数据确实需要安全,那么缓存它似乎是一个坏主意。

例如,如果它是,例如,用户的银行详细信息,那么如果将其缓存到服务器,那么这是另一个存在破解风险的地方(除了存储数据的数据库之外) 。

如果它确实不需要是安全的,那么它只是通过https传递,其中包含需要安全且不缓存的内容(如通过https提供的页面中的图像)然后我认为这绝对没问题。< / p>

答案 1 :(得分:1)

响应的服务器端缓存应该没问题,因为它发生在与https用于加密的SSL / TLS不同的层上。