Storable and Cacheable Content

Was ist Storable and Cacheable Content?

Beim Storable and Cacheable Content verwendet die Anwendung einen Cache, um einen Pool von Objekten, Threads, Verbindungen, Seiten oder Kennwörtern zu verwalten. Dadurch soll der Zeitaufwand für den Zugriff auf die Daten oder die Ressourcen, zu denen eine Verbindung hergestellt werden soll, minimiert werden. Bei einer nicht ordnungsgemäßen Implementierung können diese Caches den Zugriff auf nicht autorisierte Informationen ermöglichen oder eine Denial-of-Service Schwachstelle verursachen.

Beschreibung

Die Antwortinhalte können durch Cache-Komponenten wie Proxy-Servern gespeichert werden und werden bei ähnlichen Anfragen von anderen Benutzern als Antwort eher aus dem Zwischenspeicher abgerufen, als vom Originalserver. Wenn die Antwortdaten sensibel, persönlich oder benutzerspezifisch sind, kann dies zum Verlust von vertraulichen Informationen führen. Abhängig von der Konfiguration der verwendeten Cache-Komponenten kann, in einigen Fällen, ein Benutzer die vollständige Kontrolle über eine Sitzung eines anderen Benutzers erhalten. Dies ist hauptsächlich ein Problem, wenn “gemeinsam genutzte” Caching-Server in einem lokalen Netzwerk konfiguriert sind. Diese Konfiguration findet sich typischerweise in Unternehmen- oder Bildungsunternehmen.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Schützen Sie im Cache gespeicherte Informationen. Speichern Sie keine unnötig vertraulichen Informationen im Cache. Verwenden Sie eine Verschlüsselung im Cache.

Stellen Sie sicher, dass die Antwort keine sensiblen, persönlichen oder benutzerspezifischen Informationen enthält. Sollte dies der Fall sein, sollte überlegt werden, die folgenden HTTP-Antwortheader zu verwenden, um das Speichern und Abrufen von Inhalten aus dem Cache durch andere Benutzer zu limitieren oder zu verhindern:
Cache-Control: no-cache, no-store, must-revalidate, private
Pragma: no-cache
Läuft ab: 0

Diese Konfiguration weist beide HTTP 1.0 und HTTP 1.1 konforme Caching-Server an keine Antworten zu speichern und keine Antworten (ohne Validierung) vom Cache, als Antwort auf eine ähnliche Anfrage, abzurufen.

Andere Informationen

Da in der Antwort keine explizit spezifizierte Caching Lifetime Direktive angegeben wurde, wurde eine liberale Lifetime-Heuristik von 1 Jahr angenommen. Dies wird von rfc7234 zugelassen.

Allgemeiner Schwachstellen-Datenbanklink

https://cwe.mitre.org/data/definitions/524.html

https://tools.ietf.org/html/rfc7234

https://tools.ietf.org/html/rfc7231

http://www.w3.org/Protocols/rfc2616/rfc2616-sec13.html (veraltet durch rfc7234)


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte