информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеАтака на InternetГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Потому, что M$-ам нас$#ть на стандарты 24.05.04 10:13  Число просмотров: 2574
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Осталась непонятная ситуация с п.1 из пред. поста -- почему
> ie странно реагирует на нормальный "составной" хедер
Про это даже анекдоты есть :-)

Тут пролетало несколько раз про "нестандартность" IE. В частности лично я сталкивался с непониманием насчет CSS атрибута position:fixed. Для IE то же самое надо реализовывать криво при помощи яваскрипта с постоянными дерганьями.
<web building>
Конфиденциальность https 21.05.04 15:35  
Автор: contact Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ситуация.
Имеется некий закрытый форум, доступный по https.
Проблема: после работы с форумом кэш браузера (в частности, ie6 под xp) содержит всю историю хождения, со всеми сообщениями и пр..
Почему это проблема: хочется при доступе на форум с произвольных машин (ну, из командировки или из гостей) не оставлять после себя такой наглой трассы. При этом не хочется полагаться на ручную очитску кэша (чел. фактор, и возм. тех. неувязки)

Вопрос.
Как можно решить такую проблему?

Варианты, которые я рассматривал.
1. В случае с ie: написать bho и подкрутить сервер так, чтобы все файлы (html,jpg,..) шифровались (еще до входа в ssl), а bho бы их расшифровывал. Муторно; к тому же bho не везде поставится.
2. JavaScript: функция crypt, ключ на каждый http-запрос уникальный, передаются куками. Тоже довольно муторно, к тому же только для html.
3. Может, фича "не кэшировать" уже встроена в https? Я не нашел.

Комментарий.
Конечно, при желании злоумышленник расставит клав. слушателей, экр. дамперов и проч..
Это понятно, но не это задача. Задача -- защита от банального любопытства.
HTTP заголовок Cache-Control 21.05.04 16:07  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> 3. Может, фича "не кэшировать" уже встроена в https? Я не
> нашел.
Она встроена в сам HTTP. Правда бровсер может как реагировать на него, так и игнорировать
Спасибо! Я посмотрел. Вот результаты. 21.05.04 21:51  
Автор: contact Статус: Незарегистрированный пользователь
Отредактировано 21.05.04 22:01  Количество правок: 3
<"чистая" ссылка>
Спасибо! Я посмотрел. Вот результаты.

0. Все [почти] заработало. Но см. 1 и 2.

1. IE (у меня версия 6.0.2800 под xp) глючно реагирует на этот заголовок. Он его игнорирует.
Например, хедер Cache-Control: no-cache, no-store
Оказалось, что если разбить этот хедер, для данного примера так:
Cache-Control: no-cache
Cache-Control: no-store
То тогда ie его воспринимает. Это касается не только nocache\nostore, а и других значений.
И это поведение -- странно. Может, я где наглючил?

2. Новая проблема.
Итак, я добавил в php-скрипты форума строчку header( 'Cache-Control: no-cache' )
и html перестали кэшироваться в ie. Но этого мало.
В моем форуме есть картинки (аватары) (вставляются в html, img src=...). Я не хочу, чтобы картинки кэшировались. Но они передаются в другом http-ответе, а там не было хедера про кэш.
Я добавил (в ssl.conf; т.е. имеем апач 2.0.40 под redhat9) для картинок такой хедер.

Но: они все равно кэшируются!

Я проверял: этот хедер в http-resonce имеется.

Как быть?
Ситуация с картинками наладилась. no-store почему-то... 21.05.04 23:39  
Автор: contact Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ситуация с картинками наладилась. no-store почему-то заработал (хм).
Осталась непонятная ситуация с п.1 из пред. поста -- почему ie странно реагирует на нормальный "составной" хедер
Потому, что M$-ам нас$#ть на стандарты 24.05.04 10:13  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Осталась непонятная ситуация с п.1 из пред. поста -- почему
> ie странно реагирует на нормальный "составной" хедер
Про это даже анекдоты есть :-)

Тут пролетало несколько раз про "нестандартность" IE. В частности лично я сталкивался с непониманием насчет CSS атрибута position:fixed. Для IE то же самое надо реализовывать криво при помощи яваскрипта с постоянными дерганьями.
Спасибо, посмотрю 21.05.04 17:31  
Автор: contact Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach