In che modo è necessario proteggere gli host unificati del dominio nello stesso dominio di Active Directory da Attacco cookie di dominio correlato ?
Supponiamo che ci sia una foresta AD chiamata example.com
. Questa azienda ha una varietà di applicazioni Web interne ed esterne:
- store.example.com (customer facing)
- partnerPortal.example.com (interno / partner di fronte)
- payroll.example.com (rivolto verso l'interno)
Anche la foresta ha workstation sullo stesso dominio workstation001.example.com
... ecc.
Poiché questa risposta descrive come è facile modificare i cookie , penso che questa sia un'opportunità per < a href="http://en.wikipedia.org/wiki/Confused_deputy_problem"> confuso problema delegato , in cui l'autorizzazione concessa è il nome DNS concesso al computer.
Potrebbe essere un rischio per la sicurezza avere utenti e server sotto lo stesso dominio condiviso? Tenere presente che la maggior parte delle distribuzioni di AD rientrano in una di queste configurazioni:
Forest/Domain Name External DNS Name Vulnerable to Related Domain Attack
Contoso.com Contoso.com Yes
AD.Contoso.com Contoso.com Yes
Contoso.Local Contoso.com No
Qual è il modo migliore per mitigarlo?