プライベート ブラウジング、別名シークレット モードは、ポルノ以外にも役立つ。これにより、機密データをハード ドライブに保存すべきでないサイト (オンライン銀行、医療サイト、保険会社など) から保護できます。
機密データを保護するために HTTPS または SSL 暗号化プロトコルを使用するサイトにアクセスすると、ブラウザを閉じると機密情報が消去されると期待するかもしれません。顧客の口座番号、口座残高、処方箋履歴、キャンセルされた小切手の画像、明細書、信用報告書などです。
セキュリティ会社 Independent Security Evaluators による最近の調査によると、残念ながらそうではありません。彼らは、評価した 30 のサイトのうち 21 (70%) (Verizon Wireless、PayPal、Allstate、Equifax、Scottrade を含む) が機密データをユーザーのディスク キャッシュに保存していることを発見しました。
つまり、コンピュータを他の人と共有した場合、またはラップトップが盗まれた場合、そのデータは完全に保護されません。 ISEによると:
暗号化されていないディスク キャッシュ データがユーザーの個人用マシンにのみ保存されているという事実を無視すべきではありません。この情報が漏洩する可能性は数多くあります。マルウェア感染、ラップトップやモバイル デバイスの盗難、物理バックアップ メディアの盗難または「クラウド」バックアップ サービスの侵害、共有マシンとユーザー アカウント、そしてもちろん図書館の共有コンピューター、ホテルやインターネットカフェなど。
機密情報はコンピュータに保存されており、(ディスクに保存されていることを知らなかったとしても) 簡単に取得できます。
この問題は、ブラウザと Web サーバーがコンテンツをディスクにキャッシュする際の通信方法に起因します。 Web サーバー、特にここで取り上げている金融サーバーは、標準の「Browsers Control: no store」ヘッダーを送信して、ブラウザーにコンテンツをキャッシュしないよう指示することになっています。 ISE は、キャッシュ命令を送信しないものがあることを発見しました。他のものは「キャッシュなし」ヘッダーを送信しますが、Chrome や Firefox ではなく、Internet Explorer でのみ機能する時代遅れの非標準の命令を使用しています。 3 つのブラウザすべてデフォルトでディスクキャッシュを有効にするHTTPS サイトの場合でも、オプトインを許可するのではなく。つまり、ブラウザとウェブサイト自体の間には多くの責任があるということです。
機密情報がディスクに保存されないようにするためにできることは 2 つあります。 最も簡単なのは、プライベートブラウジングモードを使用する金融アカウントや同様の機密性の高いアカウントを保護したり、暗号化されたサイトのディスク キャッシュを制限したりできます。
あるいは、ISE では次の推奨事項が提供されます。
エンドユーザーへ。
ユーザーは、各ブラウザに応じて次の構成変更を行う必要があります。
インターネットエクスプローラー。
Internet Explorer は、ディスク キャッシュを防止するほとんどの Web アプリケーションの試みにすでに準拠しています。キャッシュできる内容をさらに制限するには、ユーザーはインターネット オプションを開き、[詳細設定] タブを選択し、[セキュリティ] で [暗号化されたページをディスクに保存しない] にチェックを入れます。このオプションを使用すると、HTTPS サイトからのファイルのダウンロードが妨げられるなど、望ましくない副作用が生じる可能性があります。あるいは、InPrivate ブラウズ モードを使用します。
ファイアーフォックス。
インストール
当社の「HTTPS キャッシング コントローラー」
Firefox アドオン。SSL コンテンツのディスク キャッシュをいつでも無効または有効にできるツールバー ボタンを追加します。このアドオンは、デスクトップ バージョンの Firefox でのみ動作します。手動で、またはモバイル バージョンで、「about:config」に移動し、環境設定「browser.cache.disk_cache_ssl」を入力し、ダブルクリックして値を「true」から「false」に切り替えます。あるいは、プライベート ブラウズ モードを使用します。
クロム。
ISE は、HTTPS リクエストのディスク キャッシュを簡単に制限する設定を Chrome で見つけることができませんでした。代わりに、シークレット モードを使用してください。
サファリ。
この記事の執筆時点では、Safari は HTTPS 経由で転送されたコンテンツをキャッシュしないため、Safari ユーザー (デスクトップとモバイルの両方) は何もする必要はありません。
これらの予防措置を講じることに加えて、自分が所有および管理していないコンピューターまたはその他のデバイスから、アカウント関連のサイトやその他のセキュリティに敏感なサイトには決してログインしないでください。
ブラウザを閉じるたびに、またはスケジュールに従ってブラウザのキャッシュをクリアすることもできます。たとえば、次のようにすることができますブラウジング後に CCleaner を実行するか、ブラウジング セッション後に実行するクリーンアップ スクリプトを作成します。。 Firefox ユーザーはブラウザを次のように設定できます。キャッシュを自動的にクリアするブラウザが閉じて Chrome ユーザーが使用できるようになると、クリック&クリーン拡張機能これを行うには。 WikiHow の手順は次のとおりです。キャッシュを手動でクリアするすべてのブラウザ向け。ただし、これにより、通常の HTTP サイトのものも含め、ブラウザによってキャッシュされたすべてが消去されます。
ブラウザーと Web サーバーが連携するまでは、機密情報が暗号化されずにコンピューターに保存されないように、後悔するよりも安全を確保することをお勧めします。
HTTPS に対する業界全体の誤解|独立したセキュリティ評価者によるLAタイムズ
