隱姓埋名，防止金融網站快取你的敏感資料

私人瀏覽，又稱隱姓埋名模式，不僅僅適用於色情。它可以保護你不受網站（包括線上銀行、健康網站和保險公司）的影響，這些網站在不應該儲存敏感資料的情況下，卻在硬碟上儲存敏感資料。...

Illustration for article titled Go Incognito and Keep Financial Sites from Caching Your Sensitive Data

私人瀏覽，又稱隱姓埋名模式，不僅僅適用於色情。它可以保護你不受網站（包括線上銀行、健康網站和保險公司）的影響，這些網站在不應該儲存敏感資料的情況下，卻在硬碟上儲存敏感資料。

當您訪問使用HTTPS或SSL加密協議保護敏感資料的站點時，您可能希望在關閉瀏覽器後清除這些敏感資訊。你知道的，比如你的客戶賬號，賬戶餘額，處方歷史，取消的支票影象，對賬單，信用報告等等。

不幸的是，根據安全公司獨立安全評估機構最近的一項研究，情況並非如此。他們發現，在被評估的30個站點中，有21個站點（70%）正在將敏感資料儲存到使用者的磁碟快取中，這些站點包括Verizon Wireless、PayPal、Allstate、Equifax和Scottrade。

這意味著，如果你曾經與別人共享你的電腦，或者如果你的膝上型電腦被盜，這些資料是完全不安全的。根據ISE：

未加密的、磁碟快取的資料只儲存在使用者的個人計算機上，這一點不應被忽視。這些資訊被暴露的可能性有很多：惡意軟體感染、膝上型電腦和移動裝置被盜、物理備份媒體被盜或“雲”備份服務、共享機器和使用者帳戶受損，當然還有圖書館、酒店和網咖中的共享計算機。

敏感資訊儲存在您的計算機上，易於檢索（即使您不知道它已儲存到磁碟）。

這個問題源於瀏覽器和web伺服器在將內容快取到磁碟時的通訊方式。Web伺服器，尤其是我們所說的金融伺服器，應該傳送一個標準的“Browsers-Control:no-store”頭來告訴瀏覽器不要快取內容。ISE發現有些沒有傳送任何快取指令。其他人傳送一個“無快取”頭，但使用的是過時的、非標準的指令，只適用於internetexplorer，而不適用於Chrome或Firefox。這三種瀏覽器都預設啟用磁碟快取，即使是HTTPS站點，也不允許您選擇加入。因此，簡言之，瀏覽器和網站本身之間有很多責任。

有兩種方法可以防止敏感資訊被儲存到磁碟：最簡單的方法是對財務和類似的敏感帳戶使用私有瀏覽模式，或者對加密站點限制磁碟快取。

或者，ISE提供以下建議：

終端使用者。使用者應根據每個瀏覽器進行以下配置更改：

Internet Explorer。Internet explorer已經遵守了大多數web應用程式阻止磁碟快取的嘗試。要進一步限制可以快取的內容，使用者可以開啟“Internet選項”，選擇“高階”選項卡，然後在“安全”下選中“不將加密頁儲存到磁碟”。此選項可能有不必要的副作用，例如干擾從HTTPS站點下載檔案。或者，使用InPrivate瀏覽模式。

火狐。安裝我們的“HTTPS Caching Controller”Firefox外掛，它添加了一個工具欄按鈕，允許隨時禁用或啟用SSL內容的磁碟快取。此載入項僅適用於桌面版Firefox。手動或在移動版上導航到“about:config，輸入首選項“browser.cache.disk\u cache\u ssl”，然後雙擊將值從“true”切換到“false”。或者，使用私有瀏覽模式。

鉻。ISE無法在Chrome中找到任何設定來輕鬆限制HTTPS請求的磁碟快取。相反，使用隱姓埋名模式。

遊獵。Safari使用者（桌面和移動）不需要採取任何操作，因為在撰寫本文時，Safari不快取透過HTTPS傳輸的任何內容。

除了採取這些預防措施外，切勿從您不擁有和控制的計算機或其他裝置登入帳戶相關或其他安全敏感站點。

您還可以在關閉瀏覽器時或按計劃清除其快取。例如，您可以在瀏覽後執行CCleaner，或者建立一個清理指令碼在瀏覽會話後執行。Firefox使用者可以將瀏覽器設定為在瀏覽器關閉時自動清除快取，Chrome使用者可以使用Click&amp；清潔擴充套件以執行此操作。下麵是WikiHow的說明，用於手動清除所有瀏覽器的快取。但是，這會清除瀏覽器快取的所有內容，包括來自常規HTTP站點的內容。

在瀏覽器和web伺服器協同工作之前，安全總比抱歉好，並確保您的敏感資訊不會被未加密地儲存到您的計算機中。

業界對HTTPS的誤解|獨立安全評估者透過洛杉磯時報