Должен я использовал виртуальные именованные хосты к интранет?
Некоторые точки доступа предоставляют Беспроводную Доменную Услугу, она делает затем возможным для точек доступа кэшировать и совместно использовать учетные данные связанных клиентов, таким образом уменьшающих необходимое время для клиентов, чтобы повторно связаться при изменении от одной точки доступа до еще одного.
Для Интранет с уязвимыми данными Вы не только хотите включить виртуальные именованные хосты, Вы также хотите удостовериться, что сайт по умолчанию указывает на макет, который говорит, кто связаться для создания отчетов о неверной конфигурации.
Вот часть текста, который я подаю на своей странице по умолчанию:
Почему это происходит, вместо того, чтобы позволить мне обратиться на сайт по умолчанию?
Защищать от очень противного типа предназначенного нападения. Предположим, что там существует кто-то пытающийся зондировать их путь в нашу систему? Даже если не, особенно вероятно, для некоторых из нас, это - хорошая практика, чтобы предположить, что мог бы быть кто-то и вырабатывать привычку защиты от него.
Ключевые пункты для этого:
Легко получить использование разрешения веб-хостинга любых доменов, которые Вы регистрируете. Это относится ко всем, включая взломщиков. Хостинг DNS доступен с интерфейсами "укажи и выбери". Любой взломщик, которого стоит вызвать беспокойство о, собирается занять минимальное количество времени, чтобы, по крайней мере, узнать об имени хоста к отображениям IP-адреса. JavaScript распространен. Так Кадры. Так ошибки XSS в браузерах. Взломщик использует кадры. Главный кадр загружается из www.evil.example.net. Один из дочерних кадров загружается из victim.evil.example.net. Для некоторых браузеров родительский кадр сможет использовать JavaScript для управления дочерним кадром, потому что оба находятся в том же домене, правильно? Ну, и что? взломщик управляет DNS для evil.example.net, таким образом, они могут заставить “жертву” указать на любой IP-адрес, они хотят. Включая один из наших IP-адресов, даже если адрес в пространстве RFC 1918.
Конечный результат: если сервер отвечает содержанием, когда дали неизвестные имена хостов затем, взломщик может сделать что-либо к любым веб-страницам с JavaScript; все, в чем они нуждаются, является веб-хостингом и управлением DNS, и чтобы кого-то пошагово переместили в посещение их сайта со способным к кадрам brower, который имеет включенный JavaScript (который является каждым главным браузером и большинством незначительных также).
В теории в эти дни браузеры учились защищать от этого с тщательным приложением политик того-же-источника. На практике нет никакого конца в поле зрения потоку дыр безопасности браузера для каждого веб-браузера, реализовывая механизм выполнения сценариев, которые позволяют им перекрестный сайт стороны браузера, пишущий сценарий (XSS) ошибки. Так справедливо часто и без предшествующего предупреждения, “немного” браузеры, упомянутые прежде внезапно, становятся “многими” или даже “большинством”.
Поскольку все нападение может быть нейтрализовано на веб-серверах, которые содержат содержание, которое будет защищено, не имея необходимость волноваться о состоянии патча каждого клиентского браузера или присутствии ошибок, не публично раскрытых, и потому что фиксация обычно легка и легка, все веб-серверы должны идеально стараться только ответить на имена хостов, о которых они явно знают. Этот идеал не мог бы всегда быть реальным, но для типичных веб-серверов это.
-
1FWIW, I' ve начиная с добавленного текста, указывающего, что это все еще проблема благодаря нападениям повторного переплетения DNS. Википедия будет объяснять проблему или видеть текущий текст по телефону 94.142.241.89 – Phil P 16 March 2010 в 22:18
В первую очередь, я не думаю, выбор, к которому необходимо волноваться очень о. Если Вы позже узнаете, что решили "неправильно", что это не должно быть для много беспокойства, изменяют структуру и помещают несколько автоматических перенаправлений http на месте.
Самостоятельно я определенно пошел бы с отдельным VirtualHosts. Если ничто иное из-за дополнительных опций это дает мне когда дело доходит до конфигурации, журналов, и т.д.
Все же я предполагаю, что это сводится к анализу рентабельности. Сколько работы - это, чтобы Вы также управляли DNS? Это "Стоится" стоящий дополнительной свободы, которую VirtualHost дает Вам? Та часть уравнения трудна для постороннего дать Вам ответ на.
Я думаю, что это часто - вопрос эстетики.
Лично, я выделял бы вещи виртуальным хостом: http://bugzilla.intranet, http://twiki.intranet, и т.д. Это действительно дает Вам опции для более легко перемещающих вещей к другим хостам в будущем, но можно всегда выполнять это после факта при помощи перенаправлений в Apache. Виртуальные хосты также позволяют Вам отгородить перегородкой структуры каталогов более плотно, который добавляет немного больше безопасности к веб-серверу (который не может быть столь же большим беспокойством о Вас в установке интранет).
Vhosts также легче ограничить доступ к во время тестирования, чем простой подкаталог в соответствии с каталогом основного сайта. Снова, это может быть сделано другой способ использовать простые правила .htaccess, но я предпочитаю иметь вещи логически (если не физически), отделялся максимально часто.
После того как у Вас есть настроенный, VHosts определенно легче управлять, особенно с точки зрения конфигурации. Можно настроить конфигурацию для одного vhost и не вызывающий беспокойство об этом влияющий другие сайты.
При установке подстановочного знака запись DNS, например, *.intranet Вы не должны будете волноваться о поддержании нескольких имен DNS.
Если Вы используете SSL (при передаче паролей через веб-формы по какой-либо причине я, конечно, надеюсь, что Вы), необходимо будет развернуть несколько сертификатов SSL, один для каждого виртуального хоста. Однако это может быть минимизировано при использовании Wildcard-сертификата который можно или купить, или генерировать себя.