Wczoraj (chyba) pojawiła się mrożąca krew w żyłach informacja: Uwaga na dane w bankach :
Nazwiska klientów kilku banków i salda ich kont mogą wpaść w niepowołane ręce, jeśli mimo wylogowania cofną się oni na stronę bankowości elektronicznej.
Klienci BZ WBK korzystający z serwisu banku za pośrednictwem przeglądarek Opera 9 i Firefox 2 mogą być narażeni na ujawnienie informacji objętych tajemnicą bankową.
W skrócie chodzi o to, że po użyciu, mrocznego, hakerskiego narzędzia (przycisk Wstecz w przeglądarce) panowie dziennikarze byli w stanie zobaczyć wcześniejsze strony. Wydaje mi się, że jest to próba zrobienia sensacji porównywalnej do wpadki Pekao. Problem oczywiście istnieje, wcale nie jest nowością. BZWBK teoretycznie zabezpiecza się przed tego typu "atakiem" ustawiając w nagłówkach Cache-Control: no-cache. Problem w tym, że Firefox i Opera (aż sobie specjalnie na tą okazję zainstalowałem Operę 9.51) radośnie ignorują (znaczy się - obsługują po swojemu) ten nagłówek (stosowne RFC). Według RFC:
If the no-cache directive does not specify a field-name, then a cache MUST NOT use the response to satisfy a subsequent request without successful revalidation with the origin server. This allows an origin server to prevent caching even by caches that have been configured to return stale responses to client requests. (...)
Czyli można użyć wersji z cache, pod warunkiem, że serwer odpowie, że nie została ona zmodyfikowana. Tak zachowuje się Internet Explorer, Firefox i Opera sprawdzenia nie wykonują.
Pewnym rozwiązaniem tego problemu może być zastąpienie wartości no-cache wartością no-store:
The purpose of the no-store directive is to prevent the inadvertent release or retention of sensitive information (for example, on backup tapes). The no-store directive applies to the entire message, and MAY be sent either in a response or in a request. If sent in a request, a cache MUST NOT store any part of either this request or any response to it. If sent in a response, a cache MUST NOT store any part of either this response or the request that elicited it. This directive applies to both non- shared and shared caches. (...)
Sprawdziłem na szybko działanie tego nagłówka z Firefox 3 i działanie było zgodne z oczekiwaniami. W Operze mi się tego sprawdzić nie udało, bo próba przekonania jej do współpracy z Fiddlerem zakończyła się niepowodzeniem.
Na początku odsyłam wszystkich do sekcji Document caching w Browser Security Handbook. Później zapraszam pod adresy (tak, w przypadku SSL certyfikat nie jest prawidłowy i tak ma być): http://bootcamp.threats.pl/lesson10/ https://bootcamp.threats.pl/le
Przesłany: Jun 19, 14:14