क्या बाहरी रूप से होस्ट किया गया उपडोमेन एक सुरक्षा जोखिम है?

एक कंपनी जिसे मैं अपने वर्तमान डोमेन को रखना चाहता हूं, के लिए एक वेब साइट विकसित कर रहा है, जो company.parentcompany.com जैसी कुछ है। क्योंकि हम एक अलग सीएमएस का उपयोग करना चाहते थे, मूल कंपनी ने समर्थन करने या इसे होस्ट करने से इनकार कर दिया और हमें तीसरे पक्ष की मेजबानी के लिए भुगतान करने के लिए कहा।

अब जब हमने ऐसा कर लिया है, तो वे यह कहते हुए नए सर्वर पर उपडोमेन के लिए ए रिकॉर्ड नहीं करेंगे कि यह एक सुरक्षा जोखिम है। मैं किसी भी तरह से एक DNS विशेषज्ञ नहीं हूं, लेकिन यह मेरे लिए कुल बीएस जैसा लगता है। मैंने इस पर कई बार चर्चा की है, लेकिन मैंने कभी किसी को सुरक्षा के मुद्दे को उठाते नहीं देखा।

क्या मैं इससे लड़ सकता हूं, या वे वास्तव में सही हैं?

security dns subdomain

— मर्जी
स्रोत

विभिन्न उप-डोमेन कुकीज़ साझा कर सकते हैं (उपयोग किए गए कुकी पथ पर निर्भर करता है), और इस प्रकार तृतीय पक्ष मुख्य डोमेन पर प्रमाणित करने के लिए उपयोग किए गए कुकीज़ चोरी कर सकता है। यदि आपका CMS हैक हो जाता है, तो भी यही स्थिति होती है।

आप अपनी नई वेबसाइट के लिए एक नया डोमेन प्राप्त कर सकते हैं और अपने पुराने डोमेन पर पुनर्निर्देशित कर सकते हैं। अधिकांश सुरक्षा मुद्दों का ध्यान रखना चाहिए।

क्रॉस साइट स्क्रिप्टिंग के संबंध में कुछ समस्याएं भी हो सकती हैं। मुझे लगता है कि आपकी बाहरी होस्ट की गई वेबसाइट को मूल साइट की कुकीज़ के साथ मूल साइट पर अनुरोध करने की अनुमति दी जा सकती है। लेकिन मैंने कभी इसकी कोशिश नहीं की है, इसलिए मुझे नहीं पता कि ब्राउज़र .parentsiteउस मामले में भी कुकीज़ भेजते हैं या नहीं ।

— CodesInChaos
स्रोत

जहां तक मैं बता सकता हूं, मूल साइट के किसी भी कुकीज़ में डोमेन .parentcompany.com (और पथ /) है, और प्रमाणीकरण के लिए किसी भी सेवा को अलग-अलग उप-डोमेन पर लगता है (जैसा कि मैं इसे समझता हूं, केवल इस प्रकार का हमला। मूल डोमेन पर लागू होता है, अन्य उप डोमेन नहीं?)। चूंकि यह इस बात पर निर्भर करता है कि मूल डोमेन कुकीज़ कैसे उत्पन्न करता है, क्या इससे सुरक्षित कुकीज़ रखने का बोझ उन पर नहीं पड़ता है?

उस पर यकीन नहीं है। ऐसे अन्य तरीके हो सकते हैं जिनमें विभिन्न उप-डोमेन को एक ही ट्रस्ट ज़ोन का हिस्सा माना जाता है।

ठीक। आपकी अंतर्दृष्टि के लिए धन्यवाद। मुझे लगता है कि हमें अपने डोमेन के लिए भी भुगतान करना होगा। आम तौर पर मैं उपडोमेन का उपयोग करने के बारे में इतना आग्रह नहीं करता, लेकिन "मूल कंपनी" प्रति माह $ 30 ("परामर्श शुल्क" के रूप में!) सिर्फ उपडोमेन के लिए ले रहा है !!! और अब वे सब कर रहे हैं इसे पुनर्निर्देशित कर रहा है!