Vlákno názorů k článku
Platební servery nechávají citlivé údaje v diskové cache prohlížeče
od Zmatený - Trochu nechápu. Já užívám IE a to zda...
-
Zmatený (neregistrovaný)
Trochu nechápu. Já užívám IE a to zda se cokoli staženého ze zabezpečeného webu (HTTPS) vůbec může uložit do cache, nebo obecně na disk (například soubory ze zazpečených webů), browseru vůbec nenařizuje žádná hlavička. Záleží na nastavení samotného IE - "Neukládat šifrované stránky na disk", nebo "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: DisableCachingOfSSLPages".
Jestli si myslíte, že se pletu, tak mi dejte vědět o zabezpečeném webu se špatným příznakem v hlavičce a já to hned odzkouším. Zatím na tuto funkci šlo vždy spolehnout.
Jak je to u ostatních browserů? Zajímala by mne Opera a Firefox. Je to řiditelné uživatelem? Vždy jsem předpokládal, že ano, teď (po zprávě) si nejsem jistý.
-
Zmatený (neregistrovaný)
Na Windows je výchozím nastavením pro IE: Neukládat šifrované stránky na disk.
To, že se musí například webmail neustále zdlouhavě načítat většina lidí ani nepostřehne. Když ale má někdo problém stáhnout a uložit soubor tak zpravidla neví proč se to děje. Microsoft má v objasňování funkcí IE zásadní mezery, hotové propasti.
-
s (neregistrovaný)
A co treba dodrzovat standardy a radeji respektovat Cache-Control o ktery se ma postarat server? Co myslite, jak se na tuhle "bezpecnostni featuru" asi tvari nekdo, kdo vsechny sve sluzby prevede na HTTPS a najednou se muz zpetinasobu trafic, protoze IE nerespektuje Cache-Control?
Chyba je jednoznacne na strane PayPalu. PayPal ma blbe Cache-Control a IE je obskurdni prohlizec. A mimo to, jde o princip. Jaka je motivace mit spravne funkcni cache, kdyz ji IE nerespektuje?
-
Karel (neregistrovaný)
No, plno lidí ma na autě zámek, přestože je kradení aut ošetřeno legislativně. Můžu sice hřímat, že policie by měla lépe hlídat, pomáhat a chránit, ale proč bych se měl považovat za hlupáka jen proto, že mám na autě zámek? Chyba je sice jednoznačně na staně zloděje a případně policie, ale také mám nějaký pud zebezáchovy, ne?
Chápu, že vy z principu zámek na autě nemáte a dveře od bytu/domu nezavíráte ani když jdete ven, ale proč to nunit ostatním? Aha, z principu.
-
Zmatený (neregistrovaný)
Kvůli této vlastnosti IE rozhodně nelze nazvat obskurním prohlížečem. Naopak, pokud ostatní browsery tuto vlastnost (blokovat ukládání obsahu ze zabezpečených webů) nemají, jsou divné naopak ony.
Neznám ale dobře ostatní browsery. Podle mne tuto vlastnost mají, ale vy jste špatní uživatelé a jen ji neznáte. Kdyby totiž browsery tuto vlastnost neměly šlo by jim velmi lehce cokoli podvrhnout a navíc by citlivá data zůstávala neustále v ohrožení. O takové drobnosti jako je okamžité a opravdu spolehlivé odhlašování ze zabezpečených služeb nemluvě.
Zkuste se napřed podívat, zda váš browser tuhle funkci také nemá. Pokud ne, tak nehaňte ty browsery které ji mají, ale radši ji požadujte po tvůrci vašeho browseru.
-
>Zkuste se napřed podívat, zda váš browser tuhle funkci také nemá. Pokud ne, tak nehaňte ty browsery které ji mají, ale radši ji požadujte po tvůrci vašeho browseru.
Co jineho byste chtel, abychom s IE delali? Pouzivat se to neda, ale hanet naopak velice dobre. A to, ze IE ma nejakou obskurni ficuru, ktera ma sve vyhody i nevyhody, ktera ale zrejme neni prilis standardni, neznamena, ze jste v bezpeci. Vsak pockejte, az se v IE zase objevi nejaka vypecena chyba toho druhu, ze se vsichni budou chytat za hlavu, jak je tohle mozne. A pak tam bude trcet do pristi updatovaci stredy nebo take pul roku a vic, nez MS vyda prvni, spatnou opravu, kterou druhy den nekdo hned obejde. A to, ze IE tuto ficuru ma, neni duvodem k tomu, aby tvurci webu, ktere predstiraji tezke zabezpeceni, zcela ignorovali bezpecnostni ficury jinych browsery, ktere navic asi jsou mnohem blize nejakemu standardu.
-
Zmatený (neregistrovaný)
Je mi úplně u prdele zda se vám IE líbí, nebo ne. Dokonce ani neřeším, jak se používá mě osobně.
Já prostě chci aby browser (jakýkoli který budu chtít zrovna používat) umožnil neukládání obsahu ze zašifrovaných webů do dlouhodobé paměti, zejména na disk (nechci to teď řešit, úložišť i těch diskových je i v rámci IE hned několik).
To že tuto (nebo podobnou) funkci má jen IE je pro mne nové zjištění, a je to zjištění celkem nepříjemné. Vůbec se nedivím, že v knihovnách a podobných zařízeních mají všude IE, i když mnohdy staršího data.
-
Vidite, me tahle ficura pripada nesmyslna. Pripada mi smysluplnejsi, aby se neukladalo tam, kde to ma smysl, coz by mel vedet tvurce webu a ne uzivatel. Neukladat tam, kde to ma smysl, FF a dalsi umi. Problem je tedy v tech tvurcich webu, kteri si patrne kdysi zbastlili neco akorat pro IE a od te doby na to moc nesahli.
Jinak pokud vyzadujete, aby se FF pri pristupu na PayPal chovalo dostatecne podobne IE, pouzijte porno mod.
Tez kdybyste pouzil vyhledavac, zjistil byste, ze to v FF jde i tak, jako v IE: http://kb.mozillazine.org/Browser.cache.disk_cache_ssl
-
Zmatený (neregistrovaný)
Vidíš to Jardo. Takhle se mi líbíš, tohle je slušná odpověď. Díky za odkaz.
Namísto poučování o správnosti ukládat do diskové cache podle přání kdejakého pochybného serveru. Kdybys četl všechny příspěvky tak seš doma. Vůbec nechápu co vás tak popudilo na Karlově komentáři, je docela trefný (navíc, vůbec nestaví jeden browser před druhý - my víme, že jste hákliví).
A tobě se plavkyně Kolesova (Či Kolesová - tedy "parnice"? Víš kdo si říká Kolesa, že?) divím, proč používáš více browserů, když jejich funkce zřejmě neznáš... Myslím, že používání dalších a dalších browserů nic neřeší a navíc podobní lidé pak naopak nepříznivě ovlivňují vývoj současných browserů.
**
Pro Operu, která mne zajímá mnohem více než Firefox (alespoň dokud na počítačích které navštěvuji zůstane ta stará verze) jsem konkrétní (jejich vlastní, ale nevím pořádně kde hledat) informaci nenašel. Našel jsem jen toto
http://www.teamwox.com/en/teamwox/help/server/browser_settings -
Zmatený (neregistrovaný)
Radši reaguji na sebe. Jen jsem chtěl ještě říci, že ten "Porno mód" (na českém IE: "Procházení se službou inPrivate") je dobrá věc, ale je vhodné ji používat jen k tomu, k čemu byla navržena.
Hodí se k "neukládání na trvalo" (na Windows je docela dostačující nápověda), což se může hodit. Na opravdu osobním počítači, je však mnohdy zbytečné tuhle funkci zapínat. Přesto i zde musíte počítat s napadením stroje a nad daty zasluhující si zvláštní přístup ten zvláštní přístup povolit.
Například u T-Mobile bylo ještě před pár lety možné vrátit se do svého uživatelského profilu, i po značné době (kterou si již nepamatuji) od odhlášení, jen díky SSL objektům v cache browseru. Zda to jde dnes nevím. Slyšel jsem, že dnes něco podobného řeší Centrum (navíc i bez SSL).
To že je výchozím nastavením "neukládat zabezpečený obsah do cache" není podle mne vůbec na škodu.
Kolikrát když vidím k čemu lidi používají počítače po knihovnách, kde jim správce mnohdy odmítne klasickou cestou změnit, nebo alespoň umožnit zkontrolovat, nastavení browseru... mohou alespoň mít naději, že ponechal výchozí nastavení (potvrzuji, že se tak často opravdu děje).
Nicméně v cache bývá vše od obsahu webů až po hesla (z toho co browser má povoleno cachovat). Nechápu, že lidé se o bezpečnost na jednu stranu bojí, ale na druhou stranu po sobě ani cache nevymažou. Nebo chápu, správce většinou nedovolí klasický přístup ani k rozhraní pro mazání této cache. A věřte mi bývá obrovská a plná, maže se zpravidla déle než minutu (nechodím ji mazat často).Podle mne by vůbec nebylo na škodu moci funkci, zakazující ukládat zabezpečené objekty do cache, aktivovat i pro jednotlivé zóny Internetu (funkce IE). Globální "zapínač" by přitom mohl zůstat dostupný.
Ono se při přechodu na zabezpečený web v IE děje více věcí. Nikdy mne ale nenapadlo vyzkoušet zda náhodou nejsou provázány i s tímto nastavením, nebo nastavením vynuceným pomocí nástroje pro vývojáře. Až budu mít čas budu to muset vyzkoušet, protože některé vlastnosti stavu přechodu zabezpečeno/nezabezpečeým využívám.
ČLÁNKY DO MAILU