私のサーバーはhttpsで構成されています。ただし、すべての資格情報は RAM (クライアント マシン) にキャッシュされます。
クライアント マシンの IP アドレスがあれば、RAM に保存されているユーザー資格情報を簡単に取得できます。クライアント マシンの電源を切る/再起動しない限り、RAM がクリアされないことを理解しています。
RAM での資格情報のキャッシュを停止するにはどうすればよいですか?
質問する
659 次
1 に答える
1
Webサーバーを実行すると、クライアントマシン上のChrome、Safari、InternetExplorerなどのWebブラウザからの接続を受け入れます。クライアントがhttps経由で接続すると、ブラウザから送信された情報と、そのブラウザに返送された情報は、転送中に暗号化によって隠されます。
ユーザーは、ブラウザソフトウェアのダイアログボックスにユーザー名とパスワードを入力します。ダイアログボックスは、サーバーへの送信(暗号化)を管理します。ブラウザは実際にユーザー名とパスワードを暗号化せずに保存します。BASIC認証では、サーバーへの各要求で(暗号化された)ユーザー名とパスワードのペアを実行する必要があるため、これを行う必要があります。
電源が入っているときにユーザーが自分のマシンの制御を失った場合、悪意のある人が実際にパスワードを発見する可能性があります。
RAMが終了するときにRAMからパスワードを消去するのは、ブラウザソフトウェアの責任です。ほとんどの商用ブラウザソフトウェアパッケージは、終了する前にそのRAMをクリアします。
専用ブラウザ(専用httpsクライアントソフトウェアパッケージ)を作成している場合は、同じことを行うことをお勧めします。
あなたの懸念は正しいです:それはウイルスや他のマルウェアがそのような危険である理由の1つです。ただし、通常のWeb開発者の場合、ユーザーにウイルス対策ソフトウェアをインストールして保守することを推奨する以外に、このクライアント側のリスクについてできることは何もありません。
于 2012-06-27T11:34:23.097 に答える