Una interfaz (sitio web / aplicación) que requiere autenticación debe tener un mecanismo de almacenamiento en caché HTTP adecuado. Cuando no lo hace, le permite a un atacante volver a navegar después de cerrar la sesión o leer el caché de otra manera.
Para hacerlo, el servidor debe imponer los encabezados HTTP que requieren que el navegador revalide (debe volver a validar) la fuente en cada solicitud (no en caché). Prácticamente, lo que significa que cuando un usuario cierra la sesión, no debería ser posible volver a navegar en el navegador (no autorizado) y ver el contenido que debe restringirse al usuario autenticado.
¿Cuál es la terminología adecuada y la puntuación CVSS básica para un mecanismo de almacenamiento en caché que permite que el navegador almacene en caché el contenido autenticado?
Supongo que una puntuación CVSS aceptable podría ser:
- Puntuación base CVSS: 4.0
- Gravedad CVSS: media
- Vector de CVSS: CVSS: 3.0 / AV: L / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N