Quali sono i rischi dell'utilizzo di una CDN per velocizzare il mio sito web? Come li evito? [duplicare]

20

Le reti di Content Delivery (CDN) sono ben note per velocizzare le prestazioni di un sito Web, ma creano ovvi rischi per la sicurezza se qualcuno cambia il codice che risiede sul CDN.

  1. Quali sono i rischi per la sicurezza di un CDN?

  2. Ci sono contenuti che non dovrei pubblicare su un CDN (ad esempio javascript, risultati JSON non elaborati)?

  3. Se servo javascript da un CDN, ci sono problemi tecnici che potrei incontrare? (ad esempio utilizzando un iFrame vs script / src e cookie di terze parti?)

  4. Ci sono problemi particolari riguardo le connessioni HTTPS / SSL?

  5. Quali informazioni può ottenere un CDN sul mio sito (ad esempio tramite le intestazioni dei referrer)?

posta random65537 04.10.2011 - 05:06
fonte

3 risposte

6
  1. Rischi per la sicurezza:
    1. Tutti i rischi che potrebbero essere presenti sul tuo sito.
    2. Qualunque rischio rilevante per un sito di terze parti per i dati che gli hai fornito.
    3. Le informazioni potrebbero persistere più a lungo del previsto.
  2. Qualunque cosa sia privata o legata a una singola sessione non dovrebbe essere servita tramite una CDN - non che io abbia mai sentito di ciò che sta accadendo. Qualunque cosa sia statica e non privata dovrebbe andare bene, incluso codice, jscript, json data, ecc.
  3. Sì, potresti avere problemi con gli script da una CDN. Dovresti determinare quali problemi devi affrontare tramite i test. Tuttavia, javascript opera generalmente su quasi tutto ciò che fa parte della finestra del browser indipendentemente dal dominio di origine (quindi tanti vettori di attacco e annunci di Facebook).
  4. Nessuna preoccupazione particolare su HTTPS. La CDN dovrebbe avere il proprio certificato e fornire il servizio SSL.
  5. Le CDN possono determinare le pagine visitate sul tuo sito. Possono determinare di più se li punti utilizzando lo stesso dominio del tuo sito web (sovrapposizione di cookie). Ecco perché spesso vedi domini come "example-static.com" invece di "static.example.com" - mantiene privati i cookie * .example.com.
risposta data 04.10.2011 - 16:00
fonte
2

L'unico problema è che se la CDN viene compromessa, gli hacker possono rubare i cookie dei visitatori con un file JS modificato, perché quel JS verrà eseguito nel sito YOUR . Questo è tutto.

In generale, CDN non utilizza i cookie (il sottodominio CDN è privo di cookie). Informazioni sulla sessione SSL, quel sottodominio utilizza un'altra sessione SSL. Nessun problema.

    
risposta data 04.10.2011 - 15:16
fonte
2

È possibile che un CDN tenga traccia degli utenti utilizzando un ETAG, sebbene non conosca alcun CDN che lo faccia (non l'ho testato)

Un valore univoco può essere generato per ogni nuova richiesta e ripetuto ogni volta che richiede un aggiornamento.

    
risposta data 18.03.2012 - 15:36
fonte

Leggi altre domande sui tag