Browser Cache 的資訊安全測試
瀏覽器可以將瀏覽過的網頁資訊或是輸入過的資訊快取記錄,
問題是有些敏感性資料也會因此被快取記錄起來
間接造成資訊安全風險,
其他人可以利用 “Back”鍵或是 history可以看見之前所瀏覽的紀錄。
筆者前陣子到銀行開新帳戶,申請網路銀行時,第一次使用需要更改帳號密碼
於是銀行行員就導引筆者使用一台公用電腦,登入並且修改帳號密碼,
想像如果該電腦的瀏覽器是有快取的設定,
那麼該電腦就很容易造成帳號密碼外洩的管道。
因此,這篇文章主要介紹網站設定與測試所需要注意的地方。
如何測試
1. Back
- 最快與簡便的方式就是按瀏覽器的 “Back”,
當按下 Back, 很有可能,顯示之前瀏覽過的敏感性資訊。
2. Cache Viewer
- 第二個方式就是透過 Browser Addon,例如FireFox CacheViewer
3. File Location
- 第三個方式檢查Browser Cache 存放位置
- Windows:
C:\Documents and Settings\<user_name>\Local
Settings\Application Data\Mozilla\Firefox\Profiles\<profile-id>\
Cache
- Internet Explorer:
C:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files
網站防護建議
可以用下列幾個 Web Server 設定,強制設定該頁面不會被 cache,
特別是需要輸入帳號、信用卡、個人資料等頁面,可以設定這些值
- Cache-Control: no-cache
- Pragma: no-cache
- Expires: 0