web-dev-qa-db-ja.com

サブドメインへの「信頼された」サードパーティFTPアクセスをドメイン全体に危険を与えていますか?

私は「信頼できる」サードパーティを提供しています(以前に彼らと仕事をしたことがあるため「信頼できる」と言いますが、実際には知りません...)私のサイトの開発バージョンへのアクセスx.mysite.com

このサイトは静的なHTML/CSS/JavaScriptであるため、遊ぶ/中断するデータベースまたはサーバー側のスクリプトはありません。

サブドメインへのFTPアクセスを許可することに危険はありますか?

ホスティングや他のサブドメイン/ルートドメインを混乱させる可能性はありますか?

明確にするために、これはドメイン/サーバーへのルートFTPアクセスではなく、サーバー側のスクリプト(PHP、Java、Pythonなど)はPleskを介してすべて無効になり、アクセスできません。

3
sam

Pleskは、FTPアクセスを含む、ドメインアカウントとサブドメイン間の適切なセキュリティ設定のセットアップについて非常に優れています。

多くのサイトは、Pleskで設定できるルートアクセスが許可されていない場合(既に行われているように)、FTPにはそれほどリスクがないため、作業するサードパーティにFTPアクセスを許可します。

サーバーログでログインを追跡できるように、FTPアカウントのユーザー名がそれらに固有であることを確認することをお勧めします。また、他の場所で使用する可能性のある他のパスワードに近いパスワードを使用しないでください。

それ以外は、FTPディレクトリの内容を監視して、彼らまたはユーザー名/パスワードを持っている可能性のある誰かがFTPサイトから不要なものを提供していないことを確認します。 Plesk経由でドメインアカウントへの帯域幅を簡単に監視して、これが悪用されていないことを確認し、最大帯域幅の許容値と最大FTPアカウントサイズも割り当てることができます。

また、Pleskは、繰り返しログインを試みる不正なIPなど(FTPログインを含む)を自動的に管理するため、ログイン情報が公開されたりビジネス関係が終了した場合、ブルートフォース攻撃を心配する必要はありません。ユーザー名とパスワードを別の安全なものに変更する(またはFTPアカウントを削除する)だけで済みます。

要するに、PleskでFTPと帯域幅の制限を設定し、FTPディレクトリの内容を監視することを条件に、ビジネスを行うサードパーティにFTPアクセスを安全に許可する必要があります。

3
dan

誰かがサブドメインにコンテンツを配置できる場合、ルートドメインに設定されている訪問者のCookieを読み取り、変更できます。

あなたが承認しないであろうが、あなたから来たように見えるそのサブドメインにアイテムを投稿することにより、あなたの評判を傷つける可能性があります。

クロスサイトスクリプティング(XSS)脆弱性の結果のほとんどは、信頼できないサードパーティがXSS攻撃を実行することを許可する安全でないコードの実行を含む可能性があります。

2