Apakah subdomain yang dihosting secara eksternal merupakan risiko keamanan?

12

Sebuah perusahaan yang telah saya kembangkan situs web untuk ingin mempertahankan domain mereka saat ini, yang merupakan sesuatu seperti company.parentcompany.com. Karena kami ingin menggunakan CMS yang berbeda, perusahaan induk menolak untuk mendukung atau bahkan menyelenggarakannya dan meminta kami untuk membayar hosting pihak ketiga.

Sekarang kita telah melakukan itu, mereka tidak akan membuat catatan A untuk subdomain yang menunjuk ke server baru, yang menyatakan bahwa itu adalah risiko keamanan. Saya bukan ahli DNS dengan cara apa pun, tapi ini kedengarannya seperti total BS bagi saya. Saya telah melihat ini dibahas beberapa kali, tetapi saya belum pernah melihat orang yang mengangkat masalah keamanan.

Bisakah saya melawan ini, atau mereka benar?

Akan
sumber

Jawaban:

6

Subdomain yang berbeda dapat membagikan cookie (tergantung pada jalur cookie yang digunakan), dan dengan demikian pihak ketiga dapat mencuri cookie yang digunakan untuk mengautentikasi pada domain utama. Ini juga terjadi jika CMS Anda diretas.

Anda bisa mendapatkan domain baru untuk situs web baru Anda dan mengatur pengalihan pada domain lama Anda. Itu harus menangani sebagian besar masalah keamanan.

Mungkin juga ada beberapa masalah tentang skrip lintas situs. Saya pikir situs web Anda yang dihosting secara eksternal mungkin diizinkan untuk membuat permintaan ke situs induk dengan cookie situs induk. Tapi saya belum pernah mencobanya, jadi saya tidak tahu apakah browser mengirim .parentsitecookie dalam kasus itu juga.

CodesInChaos
sumber
Sejauh yang saya tahu, cookie apa pun dari situs induk memiliki domain .parentcompany.com (dan jalur /), dan setiap layanan yang memerlukan otentikasi tampaknya tetap berada di subdomain yang terpisah (seperti yang saya pahami, jenis serangan ini hanya berlaku untuk domain induk, bukan subdomain lain?). Karena ini tergantung pada bagaimana domain induk menghasilkan cookie, bukankah ini membebani mereka untuk memiliki cookie yang aman?
Tidak yakin tentang itu. Mungkin ada cara lain di mana subdomain yang berbeda dianggap sebagai bagian dari zona kepercayaan yang sama.
Baik. Terima kasih atas wawasan Anda. Saya kira kita juga harus membayar untuk domain kita sendiri. Biasanya saya tidak akan terlalu ngotot tentang menggunakan subdomain, tetapi "perusahaan induk" mengenakan biaya $ 30 per bulan (sebagai "biaya konsultasi"!) Hanya untuk subdomain !!! Dan sekarang yang mereka lakukan hanyalah mengarahkannya!