habilitar el almacenamiento en caché del navegador con HTTPS

14

Entiendo que los datos confidenciales no deben almacenarse en caché (es decir, no desea almacenar en caché un archivo HTML con todos los detalles de su cuenta bancaria), pero hay algunas cosas que los sitios protegidos con HTTPS deberían poder almacenar en caché (Javascript , CSS, imágenes, etc). Tomcat no parece permitir que los desarrolladores definan explícitamente que un archivo se pueda almacenar en caché una vez que se haya habilitado SSL / TLS, y entiendo que incluso si lo hicieran, el navegador del usuario solo usa un caché en memoria para las sesiones HTTPS y descarta todo una vez que la sesión termina. Con todo lo relacionado con la Web 2.0 que está sucediendo, me parece que los operadores del sitio estarían interesados en esta capacidad para reducir las cargas en sus sitios (así como el tiempo de carga de la página) mientras mantienen la "barra verde" en el navegador del usuario que proporciona todos nosotros, un sentimiento cálido y borroso en el interior.

ACTUALIZACIÓN: se eliminaron los bits sobre la validación de los archivos almacenados en caché con un HMAC, ya que sería inútil. Si el atacante está explotando alguna forma de colisión de hash, entonces no importa si el hash se calcula con una clave secreta o no.

    
pregunta senecaso 09.09.2011 - 08:38
fuente

1 respuesta

17

Use este encabezado en su respuesta https:

Cache-control: public

O agregue ", public" a su encabezado de control de caché existente.

  

Use la directiva de control de caché: pública para habilitar el almacenamiento en caché HTTPS para Firefox.

     

Algunas versiones de Firefox requieren que el Caché control: el encabezado público se establezca para que los recursos enviados a través de SSL se almacenen en caché en el disco, incluso si los otros encabezados de almacenamiento en caché están configurados explícitamente. Aunque este encabezado se usa normalmente para habilitar el almacenamiento en caché de los servidores proxy (como se describe a continuación), los proxies no pueden almacenar en caché el contenido enviado a través de HTTPS, por lo que siempre es seguro establecer este encabezado para los recursos de HTTPS.

Fuente: Velocidad de la página de Google

La publicación Ajuste de rendimiento de HTTPS dice en la sección "Consejo # 3: Use el almacenamiento en caché persistente para el contenido estático "que Internet Explorer también puede almacenar recursos estáticos en las conexiones https.

    
respondido por el Hendrik Brummermann 09.09.2011 - 09:04
fuente

Lea otras preguntas en las etiquetas