• Browser Cache 的資訊安全測試

    瀏覽器可以將瀏覽過的網頁資訊或是輸入過的資訊快取記錄,

    問題是有些敏感性資料也會因此被快取記錄起來

    間接造成資訊安全風險,

    其他人可以利用 “Back”鍵或是 history可以看見之前所瀏覽的紀錄。

    筆者前陣子到銀行開新帳戶,申請網路銀行時,第一次使用需要更改帳號密碼

    於是銀行行員就導引筆者使用一台公用電腦,登入並且修改帳號密碼,

    想像如果該電腦的瀏覽器是有快取的設定,

    那麼該電腦就很容易造成帳號密碼外洩的管道。

    因此,這篇文章主要介紹網站設定與測試所需要注意的地方。

     

    如何測試

     1. Back

    • 最快與簡便的方式就是按瀏覽器的 “Back”,

    當按下 Back, 很有可能,顯示之前瀏覽過的敏感性資訊。

     2. Cache Viewer

    • 第二個方式就是透過 Browser Addon,例如FireFox CacheViewer

     

     3. File Location

    • 第三個方式檢查Browser Cache 存放位置
    • Windows:

    C:\Documents and Settings\<user_name>\Local
    Settings\Application Data\Mozilla\Firefox\Profiles\<profile-id>\
    Cache

    • Internet Explorer:

    C:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files

     

    網站防護建議

    可以用下列幾個 Web Server 設定,強制設定該頁面不會被 cache,

    特別是需要輸入帳號、信用卡、個人資料等頁面,可以設定這些值

    • Cache-Control: no-cache
    • Pragma: no-cache
    • Expires: 0

     

    Posted by Tony @ 10:14 pm

    Tags: , ,

  • Leave a Reply

    Your email address will not be published.