web-dev-qa-db-ja.com

CDNを使用してWebサイトを高速化するリスクは何ですか?どうすれば回避できますか?

コンテンツ配信ネットワーク(CDN)は、Webサイトのパフォーマンスを高速化することでよく知られていますが、CDNにあるコードを誰かが変更すると、明らかなセキュリティリスクが生じます。

  1. CDNのセキュリティリスクは何ですか?

  2. CDNで提供してはいけないコンテンツはありますか(javascript、ラップされていない生のjson結果など)?

  3. CDNからJavaScriptを提供する場合、遭遇する可能性のある技術的な問題はありますか? (例:iFrame vs script/srcとサードパーティのCookieを使用していますか?)

  4. HTTPS/SSL接続に関して特別な懸念はありますか?

  5. CDNは私のサイトについてどのような情報を取得できますか(例:リファラーヘッダーを介して)?

20
  1. セキュリティリスク:
    1. 自分のサイトに存在するリスク。
    2. あなたが提供したデータの第三者サイトに関連するリスク。
    3. 情報が予想よりも長く続く場合があります。
  2. プライベートまたは単一のセッションに関連するものは、CDNを介して提供されるべきではありません。そのようなことを聞​​いたことがありません。コード、jscript、jsonデータなど、静的でプライベートでないものは問題ありません。
  3. はい、CDNからスクリプトを提供する際に問題が発生する可能性があります。テストによって、直面する問題を特定する必要があります。ただし、JavaScriptは通常、ソースドメインに関係なく、ブラウザーウィンドウの一部であるほとんどすべてで動作します(したがって、非常に多くの攻撃ベクトルやFacebook広告)。
  4. HTTPSについて特に特別な懸念はありません。 CDNは独自の証明書を持ち、SSLサービスを提供する必要があります。
  5. CDNは、サイトでアクセスしたページを判別できます。 Webサイトと同じドメインを使用している場合(Cookieのオーバーラップ)、彼らはより多くを決定できます。そのため、「static.example.com」ではなく「example-static.com」のようなドメインがよく表示されます。これにより、*。example.comのCookieは非公開になります。
6
Jeff Ferland

CDNがETAGを使用してユーザーを追跡することは可能ですが、これを行うCDNは知りません(私はテストしていません)

新しいリクエストごとに一意の値を生成し、更新をリクエストするたびに繰り返すことができます。

2

唯一の問題は、CDNが侵害された場合、JSが[〜#〜] your [〜#〜] Webサイトで実行されるため、ハッカーが変更されたJSファイルで訪問者のCookieを盗む可能性があることです。それで全部です。

通常、CDNはCookieを使用しません(CDNサブドメインにはCookieがありません)。 SSLセッションについて、そのサブドメインは別のSSLセッションを使用します。全く問題無い。

2
jcisio