Browser Cache 的資訊安全測試

Browser Cache 的資訊安全測試

瀏覽器可以將瀏覽過的網頁資訊或是輸入過的資訊快取記錄,

問題是有些敏感性資料也會因此被快取記錄起來

間接造成資訊安全風險,

其他人可以利用 “Back”鍵或是 history可以看見之前所瀏覽的紀錄。

筆者前陣子到銀行開新帳戶,申請網路銀行時,第一次使用需要更改帳號密碼

於是銀行行員就導引筆者使用一台公用電腦,登入並且修改帳號密碼,

想像如果該電腦的瀏覽器是有快取的設定,

那麼該電腦就很容易造成帳號密碼外洩的管道。

因此,這篇文章主要介紹網站設定與測試所需要注意的地方。

 

如何測試

 1. Back

  • 最快與簡便的方式就是按瀏覽器的 “Back”,

當按下 Back, 很有可能,顯示之前瀏覽過的敏感性資訊。

 2. Cache Viewer

  • 第二個方式就是透過 Browser Addon,例如FireFox CacheViewer

 

 3. File Location

  • 第三個方式檢查Browser Cache 存放位置
  • Windows:

C:\Documents and Settings\<user_name>\Local
Settings\Application Data\Mozilla\Firefox\Profiles\<profile-id>\
Cache

  • Internet Explorer:

C:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files

 

網站防護建議

可以用下列幾個 Web Server 設定,強制設定該頁面不會被 cache,

特別是需要輸入帳號、信用卡、個人資料等頁面,可以設定這些值

  • Cache-Control: no-cache
  • Pragma: no-cache
  • Expires: 0

 

Leave a Reply

Your email address will not be published.