Cos'è più sicuro: molte sottodirectory o molti sottodomini?

Naviga le tue risposte
6

Ho 3 siti web che possono essere configurati come "VirtualApplication" in servicedefinition.csdef: 

www.mydomain.net/enroll

www.mydomain.net/admin

www.mydomain.net/

... oppure posso configurarli come un sito: 

enroll.mydomain.net

admin.mydomain.net

www*.mydomain.net

Dato che intendo installare SSL sul mio sito, ho intenzione di acquistare il dominio con un nome SAN di "www.mydomain.net" O "* .mydomain.net". La mia domanda è quale approccio è più sicuro?

C'è qualche indicazione su quale dovrebbe essere il dominio dei cookie o sull'URI della federazione? La mia preoccupazione per l'approccio VirtualApplication è che il cookie di root per "/" può aprirmi a vari attacchi.

Allo stesso modo, sono preoccupato dell'utilizzo di un certificato con caratteri jolly poiché è più costoso e il fatto che si tratti di un carattere jolly rimuove qualsiasi possibilità di un certificato EV. Inoltre, credo che i certificati jolly non abbiano una garanzia importante (in caso di manomissione SSL).

    
posta random65537 13.04.2011 - 22:29
fonte

2 risposte

8

Né è necessariamente più sicuro, ma ti darò alcune opinioni e forse fatti.

Host-extract può determinare i nomi degli host, che è anche possibile tramite enumerazione dell'host virtuale .

DirBuster , skipfish e fuzzdb può contare su navigazione forzata , indici di directory e percorsi di risorse prevedibili per trovare strutture di directory vulnerabili e altri problemi. Spider e crawler possono attraversare le directory, e alcuni possono anche attraversare nomi di host (so che skipfish è capace di questo).

In un certo senso, l'hosting virtuale è più difficile da gestire (hai menzionato SSL, che è un ottimo punto). Se questo è facile da gestire, potrebbe risultare più sicuro a causa della possibilità per le directory di perdere molte più informazioni rispetto ai nomi degli host e di essere vulnerabili agli attacchi come XSS molto più facilmente (come descrive @Rook nella sua risposta ).

Preferisco almeno separare i siti (per hostname) che contengono comportamenti (es. Flash, Ajax, librerie Javascript, framework RIA, pagine dinamiche, ecc.) rispetto a quelli che contengono formattazione o contenuto statico (HTML, CSS, XHTML, pagine non dinamiche). Penso che sia anche una buona pratica separare i domini SSL da domini non SSL. Il motivo è che è possibile fornire controlli più rigorosi sulla funzione di escape contestuale nei nomi host SSL / TLS rispetto a nomi host non SSL / TLS. Se si separa Javascript da CSS da HTML, allora si sa quale codifica contestuale deve aver luogo anche su quali nomi host. Ho altri suggerimenti su come gestire XSS in questo post in cui cito non crea HTML sul server e altre informazioni .

Di solito questo non è mai affidato a un professionista della sicurezza o al team di sicurezza. Spetta agli sviluppatori, ai marketer e agli esperti SEO. Decidono cosa ottiene un nome host o una struttura URI. Cercherò di approfondire ulteriormente questo argomento e aggiornerò la mia risposta man mano che avrò nuove informazioni. È una domanda interessante.

    
risposta data 13.04.2011 - 23:18
fonte
8

C'è almeno un vantaggio di sicurezza dei sottodomini. Se esiste una vulnerabilità XSS su enroll.mydomain.net , non può essere utilizzata per dirottare una sessione su admin.mydomain.net . Ciò è dovuto alla Politica Same-Origin . Inoltre, renderebbe più semplice spostare tale applicazione su un altro server, se necessario. L'isolamento del fallimento è un buon approccio Defense in Depth.

Quindi sì, i sottodomini sono più sicuri delle directory.

    
risposta data 13.04.2011 - 23:13
fonte

Leggi altre domande sui tag

Come condividere in sicurezza i file con altre persone? Quanto è sicuro mettere il tuo file 1password su Dropbox?