Взываю к помощи.

Имеется корпоративное веб-приложение с авторизацией. Время от времени звонят люди из крупных организаций (телекомов, банков) и жалуются на то, что видят страницы с информацией о другом пользователе, например, своего коллеги. Подозреваю, что это из-за кеширования на прокси-серверах в этих организациях: возможно, прокси отдает куки авторизованного пользователя всем без разбора, в результате получивших их аноним автоматом логинится.

Вопрос, как этого избежать? Добавил в шаблон:

но не помогает. Может, нужно отдавать кеш-контроль в виде заголовка?

ЗЫ: сайт не на Друпале.