web-dev-qa-db-ja.com

外部でホストされるサブドメインはセキュリティリスクですか?

私が現在のドメインを維持したいためにWebサイトを開発している会社は、company.parentcompany.comのようなものです。別のCMSを使用したかったため、親会社はそれをサポートすることもホストすることも拒否し、サードパーティのホスティングの支払いを求めました。

これで、新しいサーバーを指すサブドメインのAレコードが作成されなくなり、セキュリティリスクであることが示されます。私は決してDNSの専門家ではありませんが、これは私にとってトータルBSのように聞こえます。私はこれについて何度か議論しましたが、セキュリティの問題を提起する人を見たことはありません。

これと戦うことはできますか、それとも本当に正しいですか?

12
Will

異なるサブドメインがCookieを共有できるため(使用するCookieパスによって異なります)、サードパーティはメインドメインでの認証に使用されるCookieを盗む可能性があります。これは、CMSがハッキングされた場合にも当てはまります。

新しいウェブサイトの新しいドメインを取得し、古いドメインでリダイレクトを設定できます。これでほとんどのセキュリティ問題を処理できます。

クロスサイトスクリプティングに関する問題もあるかもしれません。外部でホストされているWebサイトは、親サイトのCookieを使用して親サイトにリクエストを送信できる場合があります。しかし、私は試したことがないので、その場合もブラウザーが.parentsite Cookieを送信するかどうかはわかりません。

6
CodesInChaos