Является ли размещенный извне поддомен угрозой безопасности?


12

Компания, для которой я разрабатываю веб-сайт, хочет сохранить свой текущий домен, что-то вроде company.parentcompany.com. Поскольку мы хотели использовать другую CMS, материнская компания отказалась поддерживать или даже разместить ее и попросила нас заплатить за сторонний хостинг.

Теперь, когда мы это сделали, они не будут делать запись A для субдомена, указывающего на новый сервер, заявляя, что это угроза безопасности. Я ни в коем случае не эксперт по DNS, но для меня это звучит как полная BS. Я видел, как это обсуждалось несколько раз, но я никогда не видел, чтобы кто-нибудь поднимал вопросы безопасности.

Могу ли я бороться с этим, или они действительно правы?

Ответы:


6

Разные субдомены могут совместно использовать куки (зависит от используемого пути куки), и, таким образом, третья сторона может украсть куки, используемые для аутентификации на основном домене. Это также тот случай, если ваша CMS взломана.

Вы можете получить новый домен для своего нового веб-сайта и настроить перенаправление на свой старый домен. Это должно заботиться о большинстве вопросов безопасности.

Также могут быть некоторые проблемы, связанные с межсайтовым скриптингом. Я думаю, что вашему внешнему веб-сайту может быть разрешено отправлять запросы на родительский сайт с помощью файлов cookie родительского сайта. Но я никогда не пробовал, поэтому не знаю, отправляют ли браузеры .parentsiteкуки в этом случае.


Насколько я могу судить, любые файлы cookie с родительского сайта имеют домен .parentcompany.com (и путь /), и любые службы, требующие проверки подлинности, в любом случае, похоже, находятся на отдельных поддоменах (насколько я понимаю, этот тип атаки только относится к родительскому домену, а не к другим поддоменам?). Поскольку это зависит от того, как родительский домен генерирует куки, не накладывает ли это на них бремя защищенных куки?

Не уверен насчет этого. Могут быть и другие способы, в которых разные субдомены считаются частью одной и той же зоны доверия.

Ok. Спасибо за ваше понимание. Я предполагаю, что нам придется заплатить и за наш собственный домен. Обычно я бы не стал настаивать на использовании субдомена, но «материнская компания» взимает 30 долларов в месяц (в качестве «платы за консультации»!) Только за субдомен !!! И теперь все, что они делают, это перенаправляют это!
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.