¿Son necesarias políticas restrictivas del mismo origen?

Question

¿Son necesarias políticas restrictivas del mismo origen?

#1 de Polynomial (5 votos)

5

La pregunta es para que la comunidad de seguridad resuelva algunos malentendidos aquí .

El quid:

La compañía (Wire) tiene un cliente (official-client.com) y un código de servidor (por ejemplo, official-server.com).
CORS actualmente permite que official-client.com acceda a official-server.com, pero unofficial-client.com no tiene acceso a official-server.com
El código para el cliente oficial está disponible para su reutilización para aplicaciones personalizadas (supuestamente, para alojar en unofficial-client.com)

El caso de uso aquí es sencillo: exponer los servicios de API autentificados a otros. Y la definición de "otros" está configurada actualmente como "official-client.com" solamente.

Pregunta: ¿Qué beneficio hay al no tener?

Access-Control-Allow-Origin: *

Para citar otro artículo , parece que la aplicación no es tan segura si se basa en su seguridad al restringir el acceso de recursos a un dominio (ya que el dominio puede ser falsificado con DNS / hosts locales). Pero ese no es realmente el problema.

¿Qué me estoy perdiendo?

same-origin-policy cors wire

pregunta mr.meer 16.02.2018 - 17:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas same-origin-policy cors wire

MITM durante el cambio legítimo de clave / huella digital ¿el atributo sameSite es redundante en la cookie httpOnly?

score 5 · Accepted Answer

La política de CORS evita que un sitio web malicioso obtenga acceso a datos en otros dominios. Por ejemplo, foo.com no debería poder leer el contenido de bar.com a través de una solicitud ajax o un mecanismo similar. Si establece el encabezado Access-Control-Allow-Origin en * , le permite a cualquier dominio en Internet enviar una solicitud a su dominio.

De forma predeterminada, cuando no se establece el encabezado Access-Control-Allow-Origin , se aplica el SOP predeterminado y las solicitudes solo se pueden realizar desde el mismo dominio.

El envenenamiento de DNS es irrelevante aquí, ya que el propósito de CORS es evitar la fuga de información a otros hosts. Si el servidor utiliza HTTPS, no podrá administrar la conexión o hacerse pasar por el servidor, lo que no le proporcionará ningún beneficio.