Estaba viendo las respuestas HTTP de enlace y enlace . Estas dos respuestas tienen similitudes y diferencias interesantes en sus definiciones de seguridad.
Tanto Twitter como Google tienen estos elementos de encabezado en común por motivos de seguridad:
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Server: *custom*
Expires: *in the past*
Cache-Control: private***
Sin embargo, twitter tiene una declaración cache-control
más extensa y utiliza HSTS:
cache-control: no-cache, no-store, must-revalidate, pre-check=0, post-check=0
strict-transport-security: max-age=631138519
Preguntas :
- ¿Hay alguna razón para no usar HSTS? ¿Google depende de Precarga de HSTS , y la aplicación web "normal" debería habilitar HSTS?
- ¿Los usuarios de Google son más susceptibles a la información relacionada con el caché?
revelación que los usuarios de Twitter debido a la diferente definición de
cache-control
?
Para estar completo, he incluido el encabezado HTTP completo para ambos sitios.
La respuesta HTTP de enlace :
HTTP/1.1 200 OK
Date: Sun, 06 Oct 2013 19:27:33 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=UTF-8
Set-Cookie: PREF=REMOVED
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Alternate-Protocol: 443:quic
Content-Length: 100392
La respuesta HTTP de enlace :
HTTP/1.1 200 OK
cache-control: no-cache, no-store, must-revalidate, pre-check=0, post-check=0
Content-Length: 50221
content-type: text/html;charset=utf-8
date: Sun, 06 Oct 2013 19:33:08 GMT
expires: Tue, 31 Mar 1981 05:00:00 GMT
last-modified: Sun, 06 Oct 2013 19:33:08 GMT
ms: S
pragma: no-cache
server: tfe
set-cookie: _twitter_sess=REMOVED
status: 200 OK
strict-transport-security: max-age=631138519
x-frame-options: SAMEORIGIN
x-transaction: 699d2669d76b27f5
x-ua-compatible: IE=10,chrome=1
x-xss-protection: 1; mode=block