Conversante, CNAME, cookie e conformità PCI

2

Ci è stato chiesto di valutare il monitoraggio dei conversant.

link

Da quello che posso dire è il suo semplice monitoraggio, come il re-marketing di google, le passate con le informazioni che desideri tramite javascript e indirizzano i tuoi visitatori con annunci mirati che hai impostato.

Il problema principale che ho è che ci richiedono di puntare due cnames sul loro sistema per consentire "Cookie di prima parte".

So che questo significa che tutti i cookie dovrebbero essere modificati su www.foobar.com, anziché su foobar.com, per evitare che eventuali problemi con le informazioni possano essere esposti alla loro fine.

Ma più mi chiedevo che tipo di attacchi ci avrebbero potuto aprire se avessero avuto un problema di sicurezza, se questo è più o meno sicuro del modello di re-marketing di google, e quali problemi ci potrebbero causare con la conformità PCI ?

PS Usiamo Braintree e Braintree.js quindi siamo coperti solo da PCI per la gestione dei token, se questo è importante.

    
posta rovermicrover 06.09.2014 - 01:21
fonte

1 risposta

2

I cookie utilizzati per mantenere lo stato della sessione devono avere un ambito limitato.

L'utilizzo di JavaScript tiene traccia degli utenti tramite il loro id di sessione, significa che non puoi utilizzare il flag del cookie link . L'utilizzo di cookie di scot su *. Foobar.com significa che XSS su *. Foobar.com potrebbe compromettere questo valore del cookie. In alternativa, se un ID di sessione è impostato su *. Foobar.com e non ha il flag link , allora ogni dominio su * .foobar.com è autorizzato a compromettere una sessione utilizzando XSS. Nel contesto della conformità PCI, questa progettazione specifica amplierebbe notevolmente la superficie di attacco che deve essere regolarmente convalidata.

Una soluzione consiste nell'utilizzare un altro token generato casualmente allo scopo di tracciare gli utenti e quindi proteggere l'id di sessione autenticato come un valore di cookie separato.

    
risposta data 06.09.2014 - 20:42
fonte

Leggi altre domande sui tag