¿Cuáles son los riesgos de usar un CDN para acelerar mi sitio web? ¿Cómo los evito? [duplicar]

20

Las redes de distribución de contenido (CDN) son conocidas por acelerar el rendimiento de un sitio web, pero crean los riesgos obvios de seguridad si alguien cambia el código que reside en el CDN.

  1. ¿Cuáles son los riesgos de seguridad de un CDN?

  2. ¿Hay contenido que no debería incluir en un CDN (por ejemplo, javascript, resultados de json sin procesar)?

  3. Si sirvo javascript desde un CDN, ¿hay problemas técnicos que podría encontrar? (por ejemplo, utilizando un iFrame vs script / src y cookies de terceros)

  4. ¿Hay alguna preocupación especial con respecto a las conexiones HTTPS / SSL?

  5. ¿Qué información puede obtener un CDN sobre mi sitio (por ejemplo, a través de encabezados de referencia)?

pregunta random65537 04.10.2011 - 05:06
fuente

3 respuestas

6
  1. Riesgos de seguridad:
    1. Cualquier riesgo que pudiera estar presente en su propio sitio.
    2. Cualquier riesgo relacionado con un sitio de terceros por los datos que les ha proporcionado.
    3. La información puede persistir más de lo esperado.
  2. Cualquier cosa privada o relacionada con una sola sesión no debe servirse a través de un CDN, no es que haya escuchado que eso haya sucedido. Cualquier cosa estática y no privada debería estar bien, incluyendo código, jscript, datos json, etc.
  3. Sí, es posible que tenga problemas al entregar scripts desde un CDN. Debes determinar a qué problemas te enfrentas mediante las pruebas. Sin embargo, javascript normalmente funciona en casi todo lo que forma parte de la ventana del navegador, independientemente del dominio de origen (por lo tanto, muchos vectores de ataque y anuncios de Facebook).
  4. No hay preocupaciones particularmente especiales sobre HTTPS. La CDN debe tener su propio certificado y proporcionar un servicio SSL.
  5. Los CDN pueden determinar las páginas visitadas en su sitio. Pueden determinar más si los señala utilizando el mismo dominio que su sitio web (solapamiento de cookies). Es por eso que a menudo ves dominios como 'example-static.com' en lugar de 'static.example.com' - mantiene las cookies de * .example.com privadas.
respondido por el Jeff Ferland 04.10.2011 - 16:00
fuente
2

El único problema es que si CDN está comprometido, los piratas informáticos pueden robar la cookie de los visitantes con un archivo JS modificado, ya que JS se ejecutará en el sitio web YOUR . Eso es todo.

En general, CDN no usa cookies (el subdominio CDN está libre de cookies). Acerca de la sesión SSL, ese subdominio usa otra sesión SSL. No hay problema en absoluto.

    
respondido por el jcisio 04.10.2011 - 15:16
fuente
2

Es posible que un CDN realice un seguimiento de los usuarios que utilizan un ETAG, aunque no conozco ningún CDN que haga esto (no he probado)

Se puede generar un valor único para cada nueva solicitud, y repetirlo cada vez que se solicite una actualización.

    
respondido por el random65537 18.03.2012 - 15:36
fuente

Lea otras preguntas en las etiquetas