De acordo com este artigo publicado no blog do (ISC)2, existe um problema de segurança na Internet relacionado com as caches realizadas em proxy, especialmente no que diz respeito à gestão de sessões e dos cookies.
Este problema surge com o facto de que a maior parte dos web-developers não desenvolve as suas aplicações web (em especial a parte de controlo e de gestão de sessões) de forma a precaver-se do facto de existirem (muitas das vezes) proxies que medeiam o acesso entre os clientes (browsers web) e os servidores, e que fazem cache do conteúdo e consequentemente dos cookies que identificam as sessões.
Como consequência, este facto provoca por vezes em existirem diferentes clientes (browsers web) que recebem o mesmos headers HTTP Set Cookie. Isto pode provocar que os mesmos identificadores de sessão (que deveriam ser únicos por cliente), possam estar associados a diversos clientes.
Os programadores web devem ter este aspecto em atenção no desenvolvimento de aplicações web mais seguras.
on Sep 27th, 2008 at 2:51 pm
É bem verdade, sem dúvida, e por vezes estas coisas simples fazem toda a diferença.
Sinceramente faz-me confusão como em alguns cursos e workshop’s não se (pelo menos) fala disso.
Abraço
Reply
on Sep 27th, 2008 at 4:31 pm
Embora saiba que, na teoria, isso pode acontecer, em vários anos NUNCA vi isso acontecer :o)
Supostamente o proxy sabe quando os conteúdos mudam e tem noção de quando deve e não deve fazer cache… :o/
Quanto mais não seja, também é possÃvel configurar (tanto do lado da aplicação web como do proxy).
Hugz,
LuÃs
Reply