Arhivă etichetă web cache incorect

dehackeradvisor™

Securitatea Web Cache pentru Site-ul tau

Caching-ul este o metoda prin care continutul site-urilor este stocat local, in alt loc decat cel in care site-ul este gazduit. Acesta este de obicei un proxi rulat de catre ISP pentru imbunatatirea performantei utilizatorului final si scaderea cerintelor de banda.

 

Directivele Web Cache si Riscurile Asociate

 

Caching-ul poate oferi o imbunatatire de performanta semnificativa site-ului dvs., dat fiind faptul ca vizitatorii vad continutul de pe proxy-urile fizice mai aproape de ei, usurand server-ul dvs. de aceasta sarcina, sau prin afisarea de continut care a fost deja vizualizat.

Anumite tipuri de continut, pot fi compromise daca nu sunt cache-uite corect. Imaginati-va urmatorul scenariu:

Maria viziteaza un site de intalniri si vede un mesaj de la cineva. Cateva secunde mai tarziu, Alex, primeste aceeasi instiintare dar vede ca mesajul este destinat catre Maria. Ce s-a intamplat ? ISP-ul local a stocat o copie a paginii Mariei si atunci cand Alex a incercat sa o vada, proxy-ul local i-a trimis lui Alex o copie a paginii lui Maria crezand ca totul este in regula. Astfel, datele Mariei au fost compromise !

 

Un scenariu cu pontential de risc mai ridicat, implica caching-ul incorect al cookie-urilor. Imaginati-va un scenariu similar cu cel de mai sus, dar de data aceasta nu doar pagina a fost cache-uita, ci si cookie-urile de autentificare care au fost trimise catre Maria. Acum, Alex, doar prin solicitarea acelei pagini, este autentificat ca si Maria. Cum se poate intampla asta ? Similar povestii de mai sus, proxy-ul local, a considerat faptul ca cookie-urile ar trebui cache-uite si returnate catre Alex fara sa realizeze ca aceastea erau cook-iurile unei sesiuni, folosite pentru a determina cine este utilizatorul.

 

Pierderea datelor si a Conturilor

 

Asa cum este ilustrat si mai sus, acesta problema de securitate poate avea un impact moderat, conducand la posibila pierdere a datelor utilizatorului sau un risc mare, conducand la pierderea completa a contului.

Poate fi clasificata ca fiind cu risc mare de securitate, daca detaliile cache-uite sunt cookie-urile sesiunii de utilizator si de imapact moderat daca datele pierdute nu sunt cookie-urile. In acest caz, pot fi dezvaluite datele contului sau identitatea utilizatorului poate fi furata. Dezvaluirea datelor cu caracter personal sau detaliile unui cont, poate genera o bresa de incredere a utilizatorilor in securitatea oferita de site, iar aceasta situatie ar trebui corectata imediat.

 

Prevenirea Web Caching-ului incorect

 

Aceasta vulnerabilitate, vine impreuna cu cache-uirea gresita a directivelor header. Daca activati cache-ingul Apache implicit, este posibil ca Apache sa decida cum sa fie cache-uita fiecare bucatica de continut. Este de datoria administratorului de site sa se asigure ce date nu ar trebui cache-uite. Definirea elementelor care sa nu fie cache-uite este un proces simplu.

Pentru prevenirea cacheing-ului, setati urmatoarele directive header pentru fiecare bucata de continut care nu ar trebui cache-uita:

Expires: Fri, 01 Jan 1990 00:00:00 GMT
Pragma: no-cache
Cache-control: no-cache, must-revalidate

De asemenea, se poate seta acest lucru si in PHP, folosind directive header, astfel :

<?php
  header("Cache-Control: no-cache, must-revalidate"); 	 // HTTP/1.1
  header("Pragma: no-cache");   			 // Just in case
  header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); 	 // Date in the past
?>

Poti lua in considerare de asemenea setarea cache-ului ca si privat (pentru a fi stocat doar in calculatorul utilizatorului final) pentru a avea anumite beneficii cache, in timp ce iti protejezi site-ul impotriva proxy-urilor care trimit continutul paginii tale catre alti utilizatori. Cititi anumite articole din sectiunea “resurse” pentru a intelege mai bine anumite directive si cum poti fi ele utilizate pentru cresterea securitatii datelor utilizatorului.

 

Resurse Suplimentare

Apache Caching
Caching How to & Security considerations
Caching with PHP
HTTP Caching RFC

 

Cauta Setarile necorespunzatoare pe serverul tau

HackerAdvisor.com  include scanari numeroase si diferite, care te vor ajuta sa-ti securizezi site-ul, inclusiv te vor ajuta sa desscoperi daca ai setari facute necorespunzator pe serverul web, atat legate de web caching cat si alt gen de setari.