La sicurezza nei proxy server

Un proxy server è sufficientemente sicuro per l’impiego nell’online banking o negli acquisti con pagamento tramite carta di credito? Il server conserverà le informazioni sui clienti? Gli hacker possono accedere ai dati sul server? Quando usa un proxy s …

Un proxy server è sufficientemente sicuro per l'impiego nell'online banking o negli acquisti con pagamento tramite carta di credito? Il server conserverà le informazioni sui clienti? Gli hacker possono accedere ai dati sul server?

Quando usa un proxy server, l'utente è collegato al server e non al sito Web indicato nel suo browser, perché il proxy funge da client a nome dell'utente stesso e utilizza uno dei suoi indirizzi IP per richiedere la pagina dal server individuato su Internet. Una volta ricevuta tale pagina, il proxy server la invia all'utente, isolando pagina e utente da Internet. Se il proxy server è anche un cache server, cercherà anzitutto nella cache locale delle pagine già scaricate dal Web per verificare se può trovare la pagina richiesta. Se la trova, la trasmette all'utente, evitando così di inviare richieste a Internet. Quando uno o più siti sono visitati frequentemente, vengono salvati nella cache del proxy, per cui ogni volta che qualcuno richiede le pagine di questi siti riceve una risposta molto rapidamente.

Per default, la cache del proxy non decodifica le pagine né memorizza pagine codificate (quelle trasferite tramite connessioni SSL). Così, se una pagina contiene informazioni sensibili dei vostri clienti, come i dettagli relativi alla carta di credito, che sono inviate attraverso un collegamento SSL, tali informazioni non saranno memorizzate sul proxy server. Tuttavia, se siete l'amministratore del proxy server, dovreste controllare la configurazione della cache per assicurarvi che non stia memorizzando pagine sensibili. Per esempio, un server ISA può essere configurato per conservare nella cache il traffico di risposta dell'SSL cui è collegato.

Se siete uno sviluppatore e desiderate accertarvi che alcune o tutte le vostre pagine non siano memorizzate, aggiungete l'attributo "Expires" e fissate una data di scadenza già trascorsa sulle pagine relative. Per esempio:
META HTTP-EQUIV="Expires" CONTENT= "Thu, 01 Dec 1998 12:00:00GMT".

La Versione 1.1 dello standard HTTP ha aggiunto un nuovo campo denominato “Cache Control” e una delle opzioni per questo attributo è "no-cache":
META HTTP-EQUIV="Cache-Control" CONTENT="no-cache".

Questo comando fa sì che la cache non tenga mai una copia della pagine visitate.
Due avvertimenti:
1. Internet Explorer non applica questa istruzione alle pagine non-HTML, come i documenti Pdf.

2. I vecchi browser che non supportano HTTP 1.0 non obbediscono a questa istruzione.

Nonostante molti sviluppatori ritengano che assegnare "Pragma: no-cahe HTTP header" renda una pagina non memorizzabile, questa pratica non è affidabile e dovrebbe essere evitata perché è tecnicamente errata: lo standard HTTP specifica Pragma come header che deve essere trasmesso dai client, e non dai server, quando viene chiesta una nuova copia di una pagina.

Per concludere, sia Internet Explorer sia Netscape hanno un'opzione per nascondere i documenti localmente ottenuti via SSL. È importante notare che se questa opzione è abilitata, chiunque abbia accesso al computer può leggere le informazioni personali contenute all'interno di un documento perché, ancora una volta, sono memorizzate nella cache del browser.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome