Almacenamiento en caché en Outlook Web Access

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Última modificación del tema: 2007-11-13

Microsoft Outlook Web Access en Microsoft Exchange Server 2007 proporciona a los usuarios una manera de obtener acceso a los buzones Exchange desde casi cualquier explorador web. Esto puede implicar el uso de un equipo no protegido o público, como un kiosco de Internet de un aeropuerto. El uso de un equipo no protegido o público puede constituir un riesgo para la seguridad si se deja la información, o se almacena en caché, en dicho equipo después de que el usuario haya cerrado la sesión de Outlook Web Access.

Para mitigar estos riesgos, Outlook Web Access únicamente almacena información en caché en situaciones específicas. Para reducir aun más los riesgos, puede configurar Outlook Web Access para que no pueda almacenar información en caché.

Cómo almacenar en caché los trabajos en Outlook Web Access

El almacenamiento en caché se produce en cuatro puntos en Outlook Web Access: durante la sesión de usuario, al obtener acceso al contenido dinámico, al obtener acceso al contenido estático y en los datos adjuntos.

Sesión de usuario

La autenticación basada en formularios usa cookies para identificar la sesión de usuario. Las cookies que usa la autenticación basada en formularios expiran automáticamente si el usuario permanece inactivo durante demasiado un tiempo. El período de tiempo de espera predeterminado cuando un usuario selecciona la opción Éste es un equipo público o compartido en la página de inicio de sesión de Outlook Web Access es de 15 minutos. El período de tiempo de espera predeterminado cuando un usuario selecciona la opción Éste es un equipo privado en la página de inicio de sesión de Outlook Web Access es de 12 minutos. Estas opciones se pueden configurar para cumplir los requisitos de la organización.

Cuando el usuario cierra sesión, la cookie expira en el servidor, por lo que no se podrá volver a usar. Como esta expiración depende del servidor de Exchange, tiene lugar independientemente del explorador web que se use.

Si Outlook Web Access se ha configurado para que use autenticación básica, el explorador web almacenará en caché las credenciales del usuario para volver a usarlas con cada solicitud del equipo cliente. Cuando el usuario cierra sesión, esta operación indica al explorador web que borre las credenciales almacenadas en caché del equipo cliente. Esto sólo funciona en Internet Explorer 6 y en versiones posteriores.

De manera predeterminada, Outlook Web Access está configurado para usar autenticación basada en formularios. La autenticación basada en formularios es más segura que la autenticación básica.

Contenido dinámico

El contenido dinámico incluye contenido de mensajes, jerarquía de carpetas de buzones y otros elementos que se pueden modificar mientras el usuario tiene iniciada sesión en Outlook Web Access. La funcionalidad del explorador web que muestra el contenido dinámico no puede controlarse con Microsoft Exchange. No obstante, el riesgo se reduce del modo siguiente:

  • Outlook Web Access indica al explorador web que no almacene nunca en caché el contenido dinámico que muestra al usuario. Esto significa que la información no se almacenará en el disco de caché. Sin embargo, la información se puede almacenar en la memoria.

  • Cuando el usuario cierra el explorador web, tal como se indicó que se hiciera en la página de cierre de sesión de Outlook Web Access, se quita cualquier dato que esté almacenado en memoria.

De manera predeterminada, Outlook Web Access está configurado para usar cifrado del Nivel de sockets seguros (SSL). Con ello se proporciona un nivel de seguridad adicional. Cuando instala la función del servidor Acceso de cliente en un equipo que ejecuta Exchange 2007, se instala un certificado SSL autofirmado. Puede usar este certificado u obtener otro de terceros. Los estándares de HTTP requieren que los exploradores web no almacenen en caché ningún contenido SSL en el disco. Sin embargo, no todos los exploradores siguen este estándar. Internet Explorer no almacena en caché el contenido SSL.

Contenido estático

El contenido estático incluye scripts e imágenes que se usan en Outlook Web Access, por ejemplo, iconos de la barra de herramientas. El contenido estático se almacena en caché en el disco del equipo cliente. Outlook Web Access no indica al explorador web que lo elimine cuando el usuario cierra sesión. Esto ayuda a Outlook Web Access a cargar de manera más rápida la próxima vez que el usuario inicia sesión en el mismo equipo. El contenido estático no identifica de ninguna manera al usuario o a su organización.

Datos adjuntos

Los datos adjuntos pueden ser especialmente sensibles a este respecto. En versiones anteriores de Microsoft Exchange, los datos adjuntos únicamente se podían ver abriéndolos en el equipo cliente. Para hacerlo, se creaba una copia temporal del archivo en la carpeta temporal y, a continuación, se iniciaba la aplicación que podía mostrar dicho archivo. Este proceso creaba en el equipo cliente una operación independiente de la sesión de Outlook Web Access.

Outlook Web Access en Exchange 2007 admite Presentación de documentos WebReady, que permite a los usuarios ver los tipos de archivo más comunes. Los usuarios de Outlook Web Access pueden usar Presentación de documentos WebReady para mostrar datos adjuntos como archivos HTML. Con ello se proporciona la misma seguridad a los datos adjuntos que a cualquier otro tipo de contenido dinámico.

Exchange 2007 SP1

Exchange 2007 Service Pack 1 (SP1) admite cifrado S/MIME. El cifrado S/MIME ayuda a proteger los datos adjuntos y el cuerpo del mensaje. Además, cualquier contenido de archivo almacenado en caché en el disco se invalida varias veces. El cifrado S/MIME se admite en Microsoft Exchange Server 2003 y en Exchange 2007 SP1. Sin embargo, el cifrado S/MIME no se admite en la versión original (RTM) de Exchange 2007.

Para obtener más información

Para obtener más información acerca de la seguridad en Outlook Web Access, consulte Administración de la seguridad de Outlook Web Access.

Para obtener más información acerca de datos adjuntos en Outlook Web Access, consulte Administración de acceso a datos y archivos para Outlook Web Access.

Para obtener más información acerca de la autenticación basada en formularios, consulte Configurar la autenticación basada en formularios para Outlook Web Access.

Para obtener más información acerca de los certificados SSL, consulte Administrar SSL para un servidor de Acceso de cliente.