¿Es un subdominio alojado externamente un riesgo de seguridad?

12

Una compañía para la que he estado desarrollando un sitio web quiere mantener su dominio actual, que es algo así como company.parentcompany.com. Como queríamos usar un CMS diferente, la empresa matriz se negó a admitirlo o incluso alojarlo y nos pidió que pagáramos el alojamiento de terceros.

Ahora que lo hemos hecho, no harán un registro A para el subdominio apuntando al nuevo servidor, indicando que es un riesgo de seguridad. No soy un experto en DNS de ninguna manera, pero esto me parece una BS total. He visto esto discutido varias veces, pero nunca he visto a nadie plantear problemas de seguridad.

¿Puedo luchar contra esto o son realmente correctos?

Será
fuente

Respuestas:

6

Diferentes subdominios pueden compartir cookies (depende de la ruta de cookies utilizada) y, por lo tanto, el tercero podría robar las cookies utilizadas para autenticarse en el dominio principal. Este también es el caso si su CMS es pirateado.

Puede obtener un nuevo dominio para su nuevo sitio web y configurar una redirección en su antiguo dominio. Eso debería ocuparse de la mayoría de los problemas de seguridad.

También puede haber algunos problemas con respecto a las secuencias de comandos entre sitios. Creo que se puede permitir que su sitio web alojado externamente haga solicitudes al sitio primario con las cookies del sitio primario. Pero nunca lo he intentado, así que no sé si los navegadores también envían las .parentsitecookies en ese caso.

CodesInChaos
fuente
Por lo que puedo decir, cualquier cookie del sitio principal tiene el dominio .parentcompany.com (y ruta /), y todos los servicios que requieren autenticación parecen estar en subdominios separados de todos modos (según tengo entendido, este tipo de ataque solo se aplica al dominio principal, no a otros subdominios?). Dado que esto depende de cómo el dominio principal genera cookies, ¿no les impone la carga de tener cookies seguras?
No estoy seguro de eso. Puede haber otras formas en que diferentes subdominios se consideren parte de la misma zona de confianza.
Okay. Gracias por tu perspicacia. Supongo que también tendremos que pagar nuestro propio dominio. ¡Normalmente no sería tan insistente con el uso del subdominio, pero la "empresa matriz" está cobrando $ 30 por mes (como "tarifa de consultoría") solo por el subdominio! ¡Y ahora todo lo que están haciendo es redirigirlo!