外部托管的子域是否存在安全风险?


12

我一直在开发网站的一家公司希望保留其当前域,例如company.parentcompany.com。因为我们想使用其他CMS,所以母公司拒绝支持甚至托管它,并要求我们为第三方托管付费。

既然我们已经做到了,他们就不会为指向新服务器的子域创建A记录,表明这是安全隐患。无论如何,我都不是DNS专家,但这听起来对我来说是总BS。我已经多次讨论了此问题,但从未见过有人提出安全问题。

我可以解决这个问题,还是真的正确?

Answers:


6

不同的子域可以共享cookie(取决于所使用的cookie路径),因此第三方可以窃取用于在主域上进行身份验证的cookie。如果您的CMS被黑,情况也是如此。

您可以为新网站获得一个新域,并在旧域上设置重定向。那应该解决大多数安全问题。

关于跨站点脚本编写可能还会存在一些问题。我认为您的外部托管网站可能会被允许使用父网站的Cookie向父网站发出请求。但是我从未尝试过,所以我也不知道浏览器.parentsite在这种情况下是否也发送cookie。


据我所知,任何来自父站点的cookie都具有域.parentcompany.com(和path /),并且任何需要身份验证的服务似乎都位于单独的子域中(据我了解,这种攻击仅适用于父域,而不适用于其他子域?)。由于这取决于父域生成Cookie的方式,因此难道不给他们带来安全cookie的负担吗?

不确定。可能还有其他方式可以将不同的子域视为同一信任区域的一部分。

好。感谢您的见解。我想我们也必须为自己的域名付费。通常情况下,我对使用子域不会那么坚持,但是“母公司” 每月只为该子域收取30 美元(作为“咨询费”!)!现在,他们正在做的就是重定向它!
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.