Hi,

gibt man einer HTTP-Ressource diverse Caching-Empfehlungen mit (Pragma, Expires, Cache-Control), so wird jeder anständige Browser dies standardmäßig entsprechend würdigen. Im Detail unterscheiden sich die Programme jedoch. Am Beispiel der beiden "großen" IE und Mozilla:

Der IE stellt die Seite[1] dar und vergisst anschließend, dass er sie kennt; geht man später mit dem Back-Button zur Seite zurück, kommt eine Fehlermeldung.

Mozilla speichert zwar (AFAIK) die Seite ebenfalls nirgendwo ab, behält sie jedoch im Speicher, so dass man sie auch nach dem Verlassen per Back-Button wieder hervorholen kann. (Sie wird auch nicht neu angefordert, sondern entstammt wirklich dem lokalen Speicher).

Ich würde ohne zu zögern das Verhalten des Mozilla als deutlich userfreundlicher ansehen und denke, mir wird da kaum jemand widersprechen. Wie sieht das aber im Hinblick auf die Sicherheit aus? Man stelle sich beispielsweise einen Logout-Vorgang vor, der zu einer Bestätigungsseite führt; wenn der Benutzer diese stehen lässt, kann jeder zufällig vorbeikommende Mensch zumindest die auf den vorherigen Seiten dargestellten Informationen sehen.

Was meinen andere, Sicherheitsrisiko oder nicht? Und: Kann man eventuell - serverseitig, per Konfiguration - etwas daran ändern?

Cheatah

[1] Ich beziehe mich der Einfachheit halber mal speziell auf ein HTML-Dokument.