Ist eine extern gehostete Subdomain ein Sicherheitsrisiko?

12

Ein Unternehmen, für das ich eine Website entwickelt habe, möchte seine aktuelle Domain beibehalten, also etwa company.parentcompany.com. Da wir ein anderes CMS verwenden wollten, weigerte sich die Muttergesellschaft, dieses zu unterstützen oder gar zu hosten, und forderte uns auf, für das Hosting durch Dritte zu zahlen.

Jetzt, da wir das getan haben, wird kein A-Eintrag für die auf den neuen Server zeigende Unterdomäne erstellt, der besagt, dass es sich um ein Sicherheitsrisiko handelt. Ich bin auf keinen Fall ein DNS-Experte, aber das klingt für mich nach BS. Ich habe dies schon mehrmals besprochen, aber ich habe noch nie jemanden gesehen, der Sicherheitsprobleme angesprochen hat.

Kann ich das bekämpfen oder sind sie wirklich korrekt?

Wille
quelle

Antworten:

6

Verschiedene Subdomains können Cookies gemeinsam nutzen (abhängig vom verwendeten Cookie-Pfad), sodass der Dritte Cookies stehlen kann, die zur Authentifizierung in der Hauptdomain verwendet werden. Dies ist auch der Fall, wenn Ihr CMS gehackt wird.

Sie könnten eine neue Domain für Ihre neue Website erhalten und eine Umleitung auf Ihre alte Domain einrichten. Damit sollten die meisten Sicherheitsprobleme behoben sein.

Möglicherweise gibt es auch Probleme beim Cross-Site-Scripting. Ich denke, Ihre extern gehostete Website kann möglicherweise mit den Cookies der übergeordneten Website Anfragen an die übergeordnete Website richten. Ich habe es aber noch nie ausprobiert, daher weiß ich nicht, ob die Browser die .parentsiteCookies auch in diesem Fall senden .

CodesInChaos
quelle
Soweit ich das beurteilen kann, haben alle Cookies von der übergeordneten Website die Domain .parentcompany.com (und path /), und alle Dienste, die eine Authentifizierung erfordern, scheinen sowieso auf separaten Unterdomänen zu sein (soweit ich das verstehe, handelt es sich nur um diese Art von Angriff) gilt für die übergeordnete Domain, nicht für andere Subdomains?). Da dies davon abhängt, wie die übergeordnete Domain Cookies generiert, müssen sie dann keine sicheren Cookies verwenden?
Nicht sicher, dass. Es kann auch andere Möglichkeiten geben, verschiedene Subdomänen als Teil derselben Vertrauenszone zu betrachten.
In Ordnung. Vielen Dank für Ihren Einblick. Ich denke, wir müssen auch für unsere eigene Domain bezahlen. Normalerweise würde ich nicht so darauf bestehen, die Subdomain zu nutzen, aber die "Muttergesellschaft" berechnet 30 US-Dollar pro Monat (als "Beratungsgebühr"!) Nur für die Subdomain !!! Und jetzt leiten sie es nur noch um!