より安全なものは何ですか?多くのサブディレクトリ、または多くのサブドメイン?
Servicedefinition.csdefで「VirtualApplication」として構成できる3つのWebサイトがあります。
www.mydomain.net/enroll
www.mydomain.net/admin
www.mydomain.net/
...または私はそれらをサイトとして設定できます:
enroll.mydomain.net
admin.mydomain.net
www*.mydomain.net
私は自分のサイトにSSLをインストールするつもりなので、SAN Name of "www.mydomain.net" OR "*。 mydomain.net "。私の質問は、より安全なアプローチは何ですか?
CookieドメインやフェデレーションURIに関するガイダンスはありますか? VirtualApplicationアプローチに対する私の懸念は、「/」のルートCookieがさまざまな攻撃にさらされる可能性があることです。
同様に、ワイルドカード証明書はより高価であり、ワイルドカードであるという事実はEV証明書の可能性を排除するため、ワイルドカード証明書の使用について心配しています。また、ワイルドカード証明書には強力な保証がありません(SSL改ざんの場合)。
どちらも必ずしも安全であるとは言えませんが、私はあなたにいくつかの意見とおそらく事実を与えます。
Host-extract はホスト名を特定できます。これは virtual Host enumeration でも可能です。
DirBuster 、 skipfish 、および fuzzdb は、 強制ブラウジング 、ディレクトリインデックス、および 予測可能なリソースに依存できます。場所 脆弱なディレクトリ構造やその他の問題を見つけるため。スパイダーとクローラーはディレクトリをトラバースすることができ、特定のものはホスト名をトラバースすることもできます(私はskipfishがこれを実行できることを知っています)。
いくつかの点で、仮想ホスティングは管理がより困難です(SSLについて言及しましたが、これは素晴らしい点です)。これが管理しやすい場合は、ディレクトリがホスト名よりもはるかに多くの情報をリークし、XSSなどの攻撃に対してより簡単に脆弱になるため(@Rookが彼の回答で説明しているように)、結果としてより安全になります。 )。
少なくとも動作(たとえば、Flash、Ajax、Javascriptライブラリ、RIAフレームワーク、動的ページなど)を含むサイト(ホスト名)を、フォーマットまたは静的コンテンツ(HTML、CSS、XHTML、非動的)を含むサイトよりも分離したいページ)。 SSLドメインを非SSLドメインから分離することも良い習慣だと思います。ここでの理由は、SSL/TLSホスト名のコンテキストエスケープに関して、非SSL/TLSホスト名よりも厳格な制御を提供できるためです。 JavaScriptとHTMLのCSSを分離すると、どのホスト名でどのコンテキストエンコーディングを実行する必要があるかがわかります。この記事では、XSSの処理方法についてさらに提案があります サーバー上でHTMLを構築するのではなく、その他のヒント 。
通常、これはセキュリティ専門家やセキュリティチームの責任ではありません。それは開発者、マーケティング担当者、SEOの専門家次第です。ホスト名またはURI構造を取得するものを決定します。このトピックについてさらに調査し、新しい情報が得られたら回答を更新します。面白い質問ですね。