Sup!

Ich programmiere gerade an einem lustigen System zur Anmeldung zu Klausuren herum.

Wir benutzen Apache mit mod_ssl und mod_auth_external zur Authentifizierung und fuer die Sicherheit etc.

Wir haben ein Meta-Tag gegen Caching von Seiteninhalten

<META HTTP-EQUIV="expires" CONTENT="0">
<META HTTP-EQUIV="pragma" CONTENT="no-cache">

Das funktioniert im (ach-so-fehlerhaften) Netscape hervorragend, nur der IE cached natuerlich trotzdem und ermoeglicht somit nach dem Ausloggen aus dem System durch einfaches "Back-Button"-Druecken wieder in das System reinzukommen, denn offensichtlich sind die Passwoerter ($ENV{'REMOTE_USER'}) gleich mit in der History gespeichert - Netscape verwirft die Passworte genau so, wie das geplant war.

Nun wollen wir natuerlich auch die IE-Nutzer vor den "gar-nicht-vorhandenen" Sicherheitsluecken ihres kompilierten Sicherheitsrisikos schuetzen. Muss da jetzt gleich eine Session-Verwaltung her, sollen wir nur sichere Browser zugreifen lassen oder gibt es evtl. doch einen Trick, den IE die Passworte vergessen zu lassen? Das sollte natuerlich auch ohne JS, ActiveX und aehnliche Scherze funktionieren, denn es ist ein akademisches Projekt mit hohem Sicherheitsanspruch, dass auf jedem Browser mit allen Einstellungen optimale Sicherheit bieten soll.
Oder muss man die Preferences des IE aendern, um dieses History-Passwort-Caching zu deaktivieren?

Gruesse,

Bio