Чи є субдомен, розміщений ззовні, ризик безпеки?

Компанія, для якої я розробляю веб-сайт, хоче зберегти свій поточний домен, який є на зразок company.parentcompany.com. Оскільки ми хотіли використовувати іншу CMS, материнська компанія відмовилася підтримувати або навіть розміщувати її та попросила платити за сторонній хостинг.

Тепер, коли ми це зробили, вони не зроблять запис для піддомену, що вказує на новий сервер, заявляючи, що це ризик для безпеки. Я ніяким чином не є експертом DNS, але це звучить як загальний BS. Я бачив, як це обговорювалося кілька разів, але я ніколи не бачив, щоб хтось порушував питання безпеки.

Чи можу я боротися з цим, чи вони справді правильні?

security dns subdomain

— Буде
джерело

Різні субдомени можуть спільно використовувати файли cookie (залежить від використовуваного шляху cookie), і, таким чином, третя сторона може вкрасти файли cookie, які використовуються для автентифікації в основному домені. Це також у випадку, якщо ваша CMS отримує злом.

Ви можете отримати новий домен для нового веб-сайту та встановити переспрямування на свій старий домен. Це має вирішити більшість питань безпеки.

Можуть також виникнути деякі питання щодо сценаріїв міжміських сайтів. Я думаю, що ваш веб-сайт, розміщений із зовнішньої сторони, може дозволити надсилати запити на батьківський сайт за допомогою файлів cookie батьківського сайту. Але я ніколи не пробував цього, тому не знаю, чи браузери надсилають .parentsiteфайли cookie і в цьому випадку.

— CodesInChaos
джерело

Наскільки я можу сказати, будь-які файли cookie з батьківського сайту мають домен .parentcompany.com (і шлях /), а будь-які сервіси, для яких потрібна автентифікація, так чи інакше є на окремих субдоменах (наскільки я розумію, цей тип атак лише стосується батьківського домену, а не інших субдоменів?). Оскільки це залежить від того, як батьківський домен генерує файли cookie, чи не покладає це на них захист файлів cookie?

Не впевнений у цьому. Можуть бути й інші способи, коли різні субдомени вважаються частиною однієї довірчої зони.

Гаразд. Дякуємо за ваше розуміння. Я думаю, нам доведеться також платити за власний домен. Зазвичай я б не настільки наполягав на використанні субдомену, але "материнська компанія" стягує 30 доларів на місяць (як "консультаційний збір"!) Лише за субдомен !!! А тепер все, що вони роблять, - це перенаправлення!