Werden Webbrowser Inhalte über https zwischenspeichern?

245

Werden über https angeforderte Inhalte weiterhin von Webbrowsern zwischengespeichert oder betrachten sie dieses unsichere Verhalten? Wenn dies der Fall ist, gibt es trotzdem eine Möglichkeit, ihnen mitzuteilen, dass das Zwischenspeichern in Ordnung ist?

security  https 
Slashnick
quelle
Ja, Browser werden Inhalte über HTTPS zwischenspeichern. Überprüfen Sie diesen Link. Neopatel.blogspot.com/2010/02/…
Kalpesh Patel
@ KalpeshPatel, das hängt von den Benutzereinstellungen ab . Einige haben das Caching für alle HTTPS-Seiten deaktiviert. Blogs.msdn.com/b/ieinternals/archive/2010/04/21/…
Pacerier

Antworten:

134

Standardmäßig sollten Webbrowser Inhalte über HTTPS genauso wie über HTTP zwischenspeichern, sofern nicht ausdrücklich über die empfangenen HTTP-Header anders angegeben .

Dieser Link ist eine gute Einführung in das Festlegen der Cache-Einstellungen in HTTP-Headern.

Gibt es überhaupt eine Möglichkeit, ihnen mitzuteilen, dass das Zwischenspeichern in Ordnung ist?

Dies kann erreicht werden, indem der max-ageWert in der Cache-ControlKopfzeile auf einen Wert ungleich Null gesetzt wird, z

Cache-Control: max-age=3600

teilt dem Browser mit, dass diese Seite für 3600 Sekunden (1 Stunde) zwischengespeichert werden kann.

ConroyP
quelle
Wenn ein Benutzer mysite.com besuchen und style.css herunterladen würde, würde style.css beim Aufrufen von mysite.com erneut angefordert werden?
Frank
12
Ich bin mir nicht sicher, ob wir hier alle auf derselben Seite sind. Sprechen wir darüber, ob HTTPS-Inhalte standardmäßig zwischengespeichert werden, oder fragen wir, ob sie unter der Annahme bestimmter HTTP-Antwortheader zwischengespeichert werden? Der Link zum Web-Caching-Tutorial, auf das Sie von Mark Nottingham aus verlinkt haben, zeigt tatsächlich an, dass sicherer (dh HTTPS) oder authentifizierter Inhalt nicht zwischengespeichert wird, es sei denn, der Cache-Steuerungsheader gibt an, dass es sich um öffentlichen Inhalt handelt.
Edward Shtern
2
Stolperte über einen schönen Artikel: blog.httpwatch.com/2011/01/28/top-7-myths-about-https
roberkules
1
Firefox hat die Anforderung für Cache-Control: public vor Jahren entfernt.
GreenReaper
1
Diese Aussage "Webbrowser sollten Inhalte über HTTPS zwischenspeichern" ist für mich falsch. Warum sollten sie dazu? Überprüfen Sie außerdem den Kommentar unter einer Person aus dem Chromteam " code.google.com/p/chromium/issues/detail?id=110649#c6 ". Er sagt "Tatsächlich wird nichts zwischengespeichert (im persistenten Cache)"
Teoman Shipahi
192

Ab 2010 werden in allen modernen Browsern standardmäßig HTTPS-Inhalte zwischengespeichert, sofern nicht ausdrücklich anders angegeben.

Es ist nicht erforderlich, cache-control:publicdies festzulegen.

Quelle: Chrome , IE , Firefox .

MarkR
quelle
6
Es scheint also, dass der allgemeine Trend dahin geht, das Zwischenspeichern von HTTPS-Objekten zu ermöglichen; Dies ist normalerweise eine gute Sache, da Entwickler dem Browser anweisen sollten, Objekte überhaupt nicht zwischenzuspeichern, wenn sie für den Datenschutz sensibel sind, und dies zuzulassen, wenn dies nicht der Fall ist (z. B. Bilder, CSS, was insbesondere sehr leistungsschädlich ist auf HTTPS). Dank dafür.
MarkR
2
Ist es RFC-kompatibel, HTTPS-Ressourcen ohne automatisch zwischenzuspeichern cache-control:public?
Pacerier
@ Pacerier-Browser betrachten das RFC-Literal als "Anforderung von Kommentaren". In den meisten Fällen ändern sich RFCs entsprechend den bereits in Browsern vorhandenen Informationen.
GCB
0

HTTP wird standardmäßig zwischengespeichert. Dies wird durch eine globale Einstellung verwaltet, die von anwendungsdefinierten Cache-Anweisungen nicht überschrieben werden kann. Um die globale Einstellung zu überschreiben, wählen Sie das Applet Internetoptionen in der Systemsteuerung aus und wechseln Sie zur Registerkarte Erweitert. Aktivieren Sie das Kontrollkästchen "Verschlüsselte Seiten nicht auf Festplatte speichern" im Abschnitt "Sicherheit". Die Verwendung von HTTPS allein hat jedoch keinen Einfluss darauf, ob der IE eine Ressource zwischenspeichert oder nicht.

WinINet speichert nur HTTP- und FTP-Antworten zwischen, nicht jedoch HTTPS-Antworten. https://msdn.microsoft.com/en-us/library/windows/desktop/aa383928%28v=vs.85%29.aspx

Ashim Nath
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.