メルカリで起きた個人情報流出、キャッシュの設定を見直してみた

先日、メルカリのサーバー切り替えの失敗により個人情報が流出しました。
詳しい内容は、メルカリの個人情報流出、陥った「no-cache」の罠 を参照してください。

metaタグの一つに、Cache-Controlというものがあります。
キャッシュの情報を指定するタグとなっていますが、こちらの設定とサーバー側の設定に誤りがあったことで起きた事件と言えます。

自分のところのCache-Controlの設定はどうなのかと思い、タグに設定できる内容を調べてました。

Cache-Controlの設定する値

こちらを参考にしました。

must-revalidateキャッシュが期限切れの場合は、オリジンサーバーの確認なしにキャッシュを利用してはならない。
no-cacheオリジンサーバにキャッシュを利用してはならない。ただし、変更があれば利用します。
no-store変更内容にかかわらず、キャッシュの内容を保存しない。
no-transformリソースの変換は行いません。(各種メディアの変換を防ぐ)
public共有として、キャッシュします。
private特定のユーザーに対してのみ、キャッシュします。
proxy-revalidatemust-revalidateと同じ。ただし、privateキャッシュは適用されない
max-ageキャッシュの有効時間(秒)
s-maxagemax-ageまたはExpiresヘッダーを上書きする。ただし、publicのみ適用で、privateは無視します。

※英語が苦手なので、間違えていたら指摘お願いします。

個人的に間違えていたのは、no-cacheがno-storeのような働きをすると思っていました。

Expiresの設定

Cache-Controlと一緒に利用されるのが、Expiresです。
キャッシュの有効期限となります。

metaタグ自体が色々ありますが、今回はここまでです。

あわせて読みたい

コメントを残す

Translate »
%d人のブロガーが「いいね」をつけました。