CDNを使用してWebサイトを高速化するリスクは何ですか?どうすれば回避できますか?
コンテンツ配信ネットワーク(CDN)は、Webサイトのパフォーマンスを高速化することでよく知られていますが、CDNにあるコードを誰かが変更すると、明らかなセキュリティリスクが生じます。
CDNのセキュリティリスクは何ですか?
CDNで提供してはいけないコンテンツはありますか(javascript、ラップされていない生のjson結果など)?
CDNからJavaScriptを提供する場合、遭遇する可能性のある技術的な問題はありますか? (例:iFrame vs script/srcとサードパーティのCookieを使用していますか?)
HTTPS/SSL接続に関して特別な懸念はありますか?
CDNは私のサイトについてどのような情報を取得できますか(例:リファラーヘッダーを介して)?
- セキュリティリスク:
- 自分のサイトに存在するリスク。
- あなたが提供したデータの第三者サイトに関連するリスク。
- 情報が予想よりも長く続く場合があります。
- プライベートまたは単一のセッションに関連するものは、CDNを介して提供されるべきではありません。そのようなことを聞いたことがありません。コード、jscript、jsonデータなど、静的でプライベートでないものは問題ありません。
- はい、CDNからスクリプトを提供する際に問題が発生する可能性があります。テストによって、直面する問題を特定する必要があります。ただし、JavaScriptは通常、ソースドメインに関係なく、ブラウザーウィンドウの一部であるほとんどすべてで動作します(したがって、非常に多くの攻撃ベクトルやFacebook広告)。
- HTTPSについて特に特別な懸念はありません。 CDNは独自の証明書を持ち、SSLサービスを提供する必要があります。
- CDNは、サイトでアクセスしたページを判別できます。 Webサイトと同じドメインを使用している場合(Cookieのオーバーラップ)、彼らはより多くを決定できます。そのため、「static.example.com」ではなく「example-static.com」のようなドメインがよく表示されます。これにより、*。example.comのCookieは非公開になります。
CDNがETAGを使用してユーザーを追跡することは可能ですが、これを行うCDNは知りません(私はテストしていません)
新しいリクエストごとに一意の値を生成し、更新をリクエストするたびに繰り返すことができます。
唯一の問題は、CDNが侵害された場合、JSが[〜#〜] your [〜#〜] Webサイトで実行されるため、ハッカーが変更されたJSファイルで訪問者のCookieを盗む可能性があることです。それで全部です。
通常、CDNはCookieを使用しません(CDNサブドメインにはCookieがありません)。 SSLセッションについて、そのサブドメインは別のSSLセッションを使用します。全く問題無い。