¿Son necesarias políticas restrictivas del mismo origen?

5

La pregunta es para que la comunidad de seguridad resuelva algunos malentendidos aquí .

El quid:

  • La compañía (Wire) tiene un cliente (official-client.com) y un código de servidor (por ejemplo, official-server.com).
  • CORS actualmente permite que official-client.com acceda a official-server.com, pero unofficial-client.com no tiene acceso a official-server.com
  • El código para el cliente oficial está disponible para su reutilización para aplicaciones personalizadas (supuestamente, para alojar en unofficial-client.com)

El caso de uso aquí es sencillo: exponer los servicios de API autentificados a otros. Y la definición de "otros" está configurada actualmente como "official-client.com" solamente.

Pregunta: ¿Qué beneficio hay al no tener?

Access-Control-Allow-Origin: *

Para citar otro artículo , parece que la aplicación no es tan segura si se basa en su seguridad al restringir el acceso de recursos a un dominio (ya que el dominio puede ser falsificado con DNS / hosts locales). Pero ese no es realmente el problema.

¿Qué me estoy perdiendo?

    
pregunta mr.meer 16.02.2018 - 17:56
fuente

1 respuesta

5

La política de CORS evita que un sitio web malicioso obtenga acceso a datos en otros dominios. Por ejemplo, foo.com no debería poder leer el contenido de bar.com a través de una solicitud ajax o un mecanismo similar. Si establece el encabezado Access-Control-Allow-Origin en * , le permite a cualquier dominio en Internet enviar una solicitud a su dominio.

De forma predeterminada, cuando no se establece el encabezado Access-Control-Allow-Origin , se aplica el SOP predeterminado y las solicitudes solo se pueden realizar desde el mismo dominio.

El envenenamiento de DNS es irrelevante aquí, ya que el propósito de CORS es evitar la fuga de información a otros hosts. Si el servidor utiliza HTTPS, no podrá administrar la conexión o hacerse pasar por el servidor, lo que no le proporcionará ningún beneficio.

    
respondido por el Polynomial 16.02.2018 - 18:07
fuente

Lea otras preguntas en las etiquetas