Estoy considerando las ventajas / desventajas relativas de hacer que una página de inicio de sesión sea guardada en caché. Tenga en cuenta que aquí me refiero a la página que contiene el formulario en el que el usuario ingresa su nombre de usuario y contraseña.
Ciertamente, no agrega ninguna protección contra la eliminación de SSL (la página HTTP se trata como una entidad separada de la era HTTPS para propósitos de almacenamiento en caché).
Parece que agrega algún valor en la protección del formulario contra la modificación por certificados deshonestos y potencialmente contra futuros problemas en SSL, aunque solo puede mejorar la integridad del formulario para ingresar los datos, que luego debe enviarse a través de un sistema comprometido. conexión. ¿Esto anula todos los beneficios de cargar la página desde el caché local?
Encontré este informe que afirma que el almacenamiento en caché de la página de inicio de sesión es una vulnerabilidad, por el hecho de que " No se recomienda habilitar el navegador web para guardar ninguna información de inicio de sesión, ya que esta información podría verse comprometida cuando existe una vulnerabilidad ". Sin embargo, la página de inicio de sesión es seguramente la forma one que realmente no queremos ¿Pre-poblar antes de enviar al navegador? OTOH habría problemas en el uso de un mecanismo basado en desafío / respuesta donde el desafío se emita dentro de la página de inicio de sesión, pero simplemente no funcionará en lugar de comprometer la seguridad.
No abre un nuevo vector de ataque a través del caché del navegador: esto ya existe cuando la página no se puede almacenar en caché (aunque potencialmente hace que un ataque con esta raíz sea un poco más sencillo si la página ya está en el caché). ).
¿Hay algún beneficio / desventaja significativo que haya pasado por alto aquí?