Là một tên miền phụ được lưu trữ bên ngoài là một rủi ro bảo mật?


12

Một công ty tôi đã phát triển một trang web vì muốn giữ tên miền hiện tại của họ, đó là một cái gì đó giống như company.parentcompany.com. Vì chúng tôi muốn sử dụng một CMS khác, công ty mẹ đã từ chối hỗ trợ hoặc thậm chí lưu trữ nó và yêu cầu chúng tôi trả tiền cho dịch vụ lưu trữ của bên thứ ba.

Bây giờ chúng tôi đã làm điều đó, họ sẽ không tạo một bản ghi A cho tên miền phụ trỏ đến máy chủ mới, nói rằng đó là một rủi ro bảo mật. Tôi không phải là chuyên gia DNS, nhưng điều này nghe có vẻ như toàn bộ BS đối với tôi. Tôi đã thấy điều này được thảo luận nhiều lần, nhưng tôi chưa bao giờ thấy ai nêu vấn đề bảo mật.

Tôi có thể chiến đấu với điều này, hoặc họ thực sự chính xác?

Câu trả lời:


6

Các tên miền phụ khác nhau có thể chia sẻ cookie (tùy thuộc vào đường dẫn cookie được sử dụng) và do đó bên thứ ba có thể đánh cắp cookie được sử dụng để xác thực trên tên miền chính. Đây cũng là trường hợp nếu CMS của bạn bị hack.

Bạn có thể nhận một tên miền mới cho trang web mới của mình và thiết lập chuyển hướng trên tên miền cũ của bạn. Điều đó sẽ quan tâm đến hầu hết các vấn đề bảo mật.

Cũng có thể có một số vấn đề liên quan đến kịch bản trang web chéo. Tôi nghĩ rằng trang web được lưu trữ bên ngoài của bạn có thể được phép thực hiện các yêu cầu đến trang web mẹ với cookie của trang web mẹ. Nhưng tôi chưa bao giờ thử nó, vì vậy tôi không biết liệu các trình duyệt có gửi .parentsitecookie trong trường hợp đó không.


Theo như tôi có thể nói, bất kỳ cookie nào từ trang mẹ đều có tên miền .parentcompany.com (và đường dẫn /) và mọi dịch vụ yêu cầu xác thực dường như chỉ nằm trên các tên miền phụ riêng biệt (theo tôi hiểu, loại tấn công này chỉ áp dụng cho tên miền mẹ, không phải tên miền phụ khác?). Vì điều này phụ thuộc vào cách tên miền mẹ tạo cookie, nên điều này không đặt gánh nặng lên chúng để có cookie an toàn?

Không chắc về việc đó. Có thể có những cách khác trong đó các tên miền phụ khác nhau được coi là một phần của cùng một vùng tin cậy.

Đồng ý. Cảm ơn sự sáng suốt của bạn. Tôi đoán chúng ta cũng sẽ phải trả tiền cho tên miền của mình. Thông thường tôi sẽ không khăng khăng về việc sử dụng tên miền phụ, nhưng "công ty mẹ" đang tính phí $ 30 mỗi tháng (dưới dạng "phí tư vấn"!) Chỉ dành cho tên miền phụ !!! Và bây giờ tất cả những gì họ đang làm là chuyển hướng nó!
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.