Um subdomínio hospedado externamente é um risco à segurança?

12

Uma empresa pela qual desenvolvo um site quer manter seu domínio atual, que é algo como company.parentcompany.com. Como queríamos usar um CMS diferente, a empresa-mãe se recusou a dar suporte ou até hospedá-lo e nos pediu para pagar pela hospedagem de terceiros.

Agora que fizemos isso, eles não criarão um registro A para o subdomínio apontando para o novo servidor, afirmando que é um risco à segurança. Eu não sou um especialista em DNS, por qualquer meio, mas isso parece total BS para mim. Já vi isso discutido várias vezes, mas nunca vi alguém levantar problemas de segurança.

Posso lutar contra isso, ou eles estão realmente corretos?

security dns subdomain Vai
fonte

Respostas:

6

Diferentes subdomínios podem compartilhar cookies (depende do caminho do cookie usado) e, portanto, terceiros podem roubar cookies usados ​​para autenticação no domínio principal. Este também é o caso se o seu CMS for invadido.

Você pode obter um novo domínio para o seu novo site e configurar um redirecionamento no seu domínio antigo. Isso deve cuidar da maioria dos problemas de segurança.

Também pode haver alguns problemas relacionados a scripts entre sites. Acho que seu site hospedado externamente pode fazer solicitações ao site pai com os cookies do site pai. Mas eu nunca tentei, então não sei se os navegadores também enviam os .parentsitecookies nesse caso.

CodesInChaos
fonte
Pelo que sei, qualquer cookie do site pai possui o domínio .parentcompany.com (e path /), e qualquer serviço que exija autenticação parece estar em subdomínios separados de qualquer maneira (pelo que entendi, esse tipo de ataque apenas aplica-se ao domínio pai, não a outros subdomínios?). Como isso depende de como o domínio pai gera cookies, isso não sobrecarrega a existência de cookies seguros?
Não tenho certeza sobre isso. Pode haver outras maneiras pelas quais diferentes subdomínios são considerados parte da mesma zona de confiança.
Está bem. Obrigado pela sua compreensão. Acho que também teremos que pagar pelo nosso próprio domínio. Normalmente, eu não seria tão insistente em usar o subdomínio, mas a "empresa controladora" cobra US $ 30 por mês (como uma "taxa de consultoria"!) Apenas pelo subdomínio !!! E agora tudo o que eles estão fazendo é redirecioná-lo!