Ситуация.
Имеется некий закрытый форум, доступный по https.
Проблема: после работы с форумом кэш браузера (в частности, ie6 под xp) содержит всю историю хождения, со всеми сообщениями и пр..
Почему это проблема: хочется при доступе на форум с произвольных машин (ну, из командировки или из гостей) не оставлять после себя такой наглой трассы. При этом не хочется полагаться на ручную очитску кэша (чел. фактор, и возм. тех. неувязки)
Вопрос.
Как можно решить такую проблему?
Варианты, которые я рассматривал.
1. В случае с ie: написать bho и подкрутить сервер так, чтобы все файлы (html,jpg,..) шифровались (еще до входа в ssl), а bho бы их расшифровывал. Муторно; к тому же bho не везде поставится.
2. JavaScript: функция crypt, ключ на каждый http-запрос уникальный, передаются куками. Тоже довольно муторно, к тому же только для html.
3. Может, фича "не кэшировать" уже встроена в https? Я не нашел.
Комментарий.
Конечно, при желании злоумышленник расставит клав. слушателей, экр. дамперов и проч..
Это понятно, но не это задача. Задача -- защита от банального любопытства.
HTTP заголовок Cache-Control21.05.04 16:07 Автор: amirul <Serge> Статус: The Elderman
> 3. Может, фича "не кэшировать" уже встроена в https? Я не > нашел. Она встроена в сам HTTP. Правда бровсер может как реагировать на него, так и игнорировать
Спасибо! Я посмотрел. Вот результаты.21.05.04 21:51 Автор: contact Статус: Незарегистрированный пользователь Отредактировано 21.05.04 22:01 Количество правок: 3
1. IE (у меня версия 6.0.2800 под xp) глючно реагирует на этот заголовок. Он его игнорирует.
Например, хедер Cache-Control: no-cache, no-store
Оказалось, что если разбить этот хедер, для данного примера так:
Cache-Control: no-cache
Cache-Control: no-store
То тогда ie его воспринимает. Это касается не только nocache\nostore, а и других значений.
И это поведение -- странно. Может, я где наглючил?
2. Новая проблема.
Итак, я добавил в php-скрипты форума строчку header( 'Cache-Control: no-cache' )
и html перестали кэшироваться в ie. Но этого мало.
В моем форуме есть картинки (аватары) (вставляются в html, img src=...). Я не хочу, чтобы картинки кэшировались. Но они передаются в другом http-ответе, а там не было хедера про кэш.
Я добавил (в ssl.conf; т.е. имеем апач 2.0.40 под redhat9) для картинок такой хедер.
Но: они все равно кэшируются!
Я проверял: этот хедер в http-resonce имеется.
Как быть?
Ситуация с картинками наладилась. no-store почему-то...21.05.04 23:39 Автор: contact Статус: Незарегистрированный пользователь
Ситуация с картинками наладилась. no-store почему-то заработал (хм).
Осталась непонятная ситуация с п.1 из пред. поста -- почему ie странно реагирует на нормальный "составной" хедер
Потому, что M$-ам нас$#ть на стандарты24.05.04 10:13 Автор: amirul <Serge> Статус: The Elderman
> Осталась непонятная ситуация с п.1 из пред. поста -- почему > ie странно реагирует на нормальный "составной" хедер Про это даже анекдоты есть :-)
Тут пролетало несколько раз про "нестандартность" IE. В частности лично я сталкивался с непониманием насчет CSS атрибута position:fixed. Для IE то же самое надо реализовывать криво при помощи яваскрипта с постоянными дерганьями.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
