個人情報を含むレスポンスをキャッシュしたセキュリティ事故
メルカリの事例
切り替え前のCDNプロバイダはCache-Controlヘッダではなく、CDNの設定でキャッシュを制御することで、メルカリWeb版においては全くキャッシュが行われないようにしていました。
切り替え後のCDNプロバイダでは、Cache-Controlヘッダでキャッシュの制御が可能であるため(この制御はnginxの設定により行います)、CDNの設定によるキャッシュ無効化は行わず切り替えを行いました。切替前の検証では手元のマシンのhostsファイルを編集し、数回アクセスを行い問題なく動作していることを確認しました。
同じURLで違うリソースを出し分けるような動的ページを構成するリソースをキャッシュしてしまうセキュリティ事故 例えば、以下のようなリソースをキャッシュすると情報漏洩に繋がる
ユーザーによって内容が変わるHTML
ユーザーによって内容が変わるJSON
ユーザーによって内容が変わる画像
などなど
余談だけどメルカリのブログが丁寧に技術解説されていて分かりやすかったakix.icon
