外部でホストされるサブドメインはセキュリティリスクですか?

12

私がWebサイトを開発している会社は、company.parentcompany.comのような現在のドメインを維持したいと考えています。別のCMSを使用したかったため、親会社はそれをサポートすることもホストすることも拒否し、サードパーティのホスティングの支払いを求めました。

これで、新しいサーバーを指すサブドメインのAレコードが作成されなくなり、セキュリティリスクであることが示されます。私はDNSの専門家ではありませんが、これはトータルBSのように思えます。これについて何度か議論したことがありますが、セキュリティの問題を提起する人はいません。

これと戦うことができますか、それとも本当に正しいですか?

security  dns  subdomain 
意志
ソース

回答:

6

異なるサブドメインがCookieを共有できるため(使用するCookieパスによって異なります)、サードパーティはメインドメインでの認証に使用されるCookieを盗む可能性があります。これは、CMSがハッキングされた場合にも当てはまります。

新しいWebサイトの新しいドメインを取得し、古いドメインでリダイレクトを設定できます。これでほとんどのセキュリティ問題を処理できます。

クロスサイトスクリプティングに関していくつかの問題があるかもしれません。外部でホストされているウェブサイトは、親サイトのCookieを使用して親サイトにリクエストを送信できる場合があります。しかし、私はそれを試したことがないので.parentsite、その場合もブラウザがクッキーを送信するかどうかはわかりません。

CodesInChaos
ソース
私が知る限り、親サイトからのすべてのCookieにはドメイン.parentcompany.com(およびパス/)があり、認証を必要とするサービスはいずれにせよ別々のサブドメインにあるようです(私が理解するように、このタイプの攻撃のみ他のサブドメインではなく、親ドメインに適用されますか?)。これは、親ドメインがCookieを生成する方法に依存しているため、安全なCookieを所有する負担が親ドメインにかかることはありませんか?
それについてはわかりません。異なるサブドメインが同じトラストゾーンの一部と見なされる他の方法があります。
OK。洞察力をありがとう。私たちも自分のドメインにお金を払わなければならないと思います。通常、サブドメインの使用についてはあまり気にしませんが、「親会社」はサブドメインに対してのみ月額 30ドル(「コンサルティング料金」として)を請求しています!!! そして今、彼らがしているのはそれをリダイレクトすることです!
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.