Witam

tworzę dla klienta witrynę, która posiada część ogólniedostępną oraz część zastrzeżoną - przeznaczoną wyłącznie dla pojedynczych, zalogowanych klientów.

Materiałami w części zastrzeżonej są teksty (HTML), fotografie, filmy QuickTime i nagrania w formacie MP3. Żadne z tych materiałów pod żadnym pozorem nie powinny trafić w niepowołane ręce.

Mój problem polega na tym, że w żaden sposób nie potrafię zmusić przeglądarki Internet Explorer (wersja 6, choć poprzednie wersje są nie lepsze), żeby NIE zapisywała tych plików do swojego CACHE.

(Dla niewtajemniczonych — przeglądarka IE posiada w systemie swój specjalny katalog, w którym zapisuje W POSTACI JAWNEJ pliki, które ściąga z internetu. Te pliki zachowują swoje nagłówki, rozszerzenia i nie są w żadnen sposób modyfikowane — no, czasem jedynie zmieniana jest nazwa pliku, i to wszystko. W każdym razie do tego katalogu można bez trudu wejść i bez trudu zobaczyć wszystko, co Ty lub ktokolwiek przed Tobą oglądał za pomocą tej przeglądarki)



Oczywiście próbowałem użyć znacznika
<meta HTTP-EQUIV="Pragma" CONTENT="no-cache">

Według dyrektyw W3C to powinno zapobiec cache'owaniu. Bez skutku — wszystkie pliki widziałem w Cache jak na dłoni. Ale też się zbyt wiele po tej metodzie nie spodziewałem, bo MS nigdy się specjalnie nie przejmował dyrektywami W3C.

Myślałem, że gdy będę wysyłał wszystkie dane w sposób dynamiczny (czyli nie pobierał ich bezpośrednio z plików serwera, tylko przez skrypt), to nie będą one cachowane — w końcu nie będą to fizyczne pliki, tylko "odpowiedzi" skryptu na zapytanie.

Niestety, jedyne, co w ten sposób osiągnąłem, to to, że IExplorer ca**e te pliki pod inną nazwą. Ale nawet sobie nie zadaje trudu, żeby zmienić rozszerzenie tego pliku, że o nagłówku już nawet nie wspomnę.

Czyli nadal można sobie wszystko zobaczyć.


Następnym krokiem mojego dochodzenia było pytanie — "jak to robią najlepsi". Tak się składa, że mam konto w mBanku, więc pomyślałem, że sprawdzę. W końcu to bank, oni tam mają prawdziwych speców od bezpieczeństwa. Na pewno też jakoś walczyli z cachem, sprawdzę przynajmniej, czy coś osiągnęli.

Wszedłem więc sobie na stronę transakcyjną mBanku, wyświetliłem dane swoich kont i się wylogowałem. Zamknąłem przeglądarkę i dla pewności zrestartowałem nawet system.

Po ponownym uruchomieniu wszedłem do katalogu Cache IExplorera... i co zobaczyłem?

Znalazłem tam między innymi plik HTML, w którym były następujące dane (podane w sposób czytelny, z mniej więcej zachowanym pierwotnym układem, kolorystyką itp)
— moje imię i nazwisko
— numery moich kont (!)
— salda i stan dostępnych środków na każdym z kont (!!)
— data ostatniego pomyślnego i niepomyślnego logowania

Czyli okazało się, że absolutni specjaliści od bezpieczeństwa też sobie nie dali rady (????!!!!!). Problem wydaje się banalny. Ja nie jestem żadnym hackerem, żadnym, nawet nigdy nie próbowałem niczego złamać. Po prostu wchodzę sobie do katalogu na dysku. I znajduję tam dane, które są poufne (!).

Akurat to był mój komputer i tylko ja mam do niego dostęp. Ale co z kafejkami internetowymi? Tam ludzie nagminnie korzystają z systemów transakcyjnych, takich jak mBank, sam to wielokrotnie robiłem. Czy rzeczywiście zostawiam po sobie poufne dane, które każdy może sobie odczytać?

Czy IExplorer jest aż tak dziurawy, że taka ogroooomna dziura nikogo nie razi? To nawet nie dziura, to chyba raczej błąd w założeniach.

Mam przeogromną nadzieję, że się mylę, że to nie jest tak i że wszystko jest w porządku. Ale na prostą logikę... pliki są po prostu ogólniedostępne, bez najmniejszych podchodów.

Proszę Was, którzy wielokrotnie ścieraliście się z poważniejszymi problemami, poradźcie mi, co można zrobić i uspokójcie, że nie jest tak źle.

Przecież IExplorer jest najpopularniejszą przeglądarką i ogląda się na nim wszelkie poufne dane, więc na pewno jest jakieś rozwiązanie.

Proszę o radę Czytaj na Forum Merytorium.pl