Cache-Control: private
Indica que la totalidad o parte del mensaje de respuesta está destinado a un solo usuario y NO DEBE almacenarse en caché en un caché compartido, como un servidor proxy.
Mirando a OWASP: Probando la debilidad del caché del navegador
Los navegadores pueden almacenar información con fines de almacenamiento en caché e historial.
El almacenamiento en caché se utiliza para mejorar el rendimiento, por lo que se muestra anteriormente
La información no necesita ser descargada de nuevo. Mecanismos de historia
se utilizan para comodidad del usuario, de modo que el usuario pueda ver exactamente lo que
Se vio en el momento en que se recuperó el recurso. Si es sensible
la información se muestra al usuario (como su dirección, crédito
detalles de la tarjeta, Número de Seguro Social o nombre de usuario), entonces esto
la información podría ser almacenada para propósitos de almacenamiento en caché o historial, y
por lo tanto recuperable a través del examen de la memoria caché del navegador o por
simplemente presionando el botón "Atrás" del navegador.
OWASP dice que, preferiblemente, Cache-Control
se establece en no-cache
. Con Cache-Control: private
la información aún podría estar almacenada en caché dentro del navegador. Este puede puede ser un riesgo de seguridad si sus usuarios tienden a usar computadoras compartidas. Esto es especialmente importante para los sitios web que envían / muestran información confidencial, como los datos de la tarjeta de crédito.
¿Se trata de una infracción de seguridad ? no. ¿Puede ser un riesgo de seguridad ? sí.
Debes alinearte con el propietario del sitio web para ver qué tipo de información se muestra y almacena y si el control de caché debería ser más restrictivo.