2016年04月11日

10. HTTPS経由したWebページのキャッシュ

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
HTTPS経由したWebページをキャッシュしないようWebブラウザに抑制できていなかったため、
ローカル環境にキャッシュ(ファイル化)されていた。

【(想定)被害内容】
機密情報が流出する。

【対策内容】
静的ページ(Html)の場合、各htmlファイルに
-----
<meta http-equiv="Cache-Control" content="no-cache" />
<meta http-equiv="Pragma" content="no-cache" />
<meta http-equiv="Expires" content="Tue, 10 Oct 2000 00:00:00 GMT" />
-----
を追記する。
また、動的ページ(JavaServlet)の場合、基底サーブレットに
-----
response.setHeader("Cache-Control", "no-cache");
response.setHeader("Pragma", "no-cache");
response.setHeader("Expires", "Tue, 10 Oct 2000 00:00:00 GMT");
-----
を追記する。※ JSONIC の RPCServlet では対策済みでした。
もしくは、対策を一元化したい場合、Apacheのhttpd.confに
-----
Header set Cache-Control "no-cache"
Header set Pragma "no-cache"
Header set Expires "Tue, 10 Oct 2000 00:00:00 GMT"
-----
を追記する。

【関連する記事】
posted by red at 00:12| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック