Segurança : Cisco Web Security Appliance

Os Web site com Domain Name (de duas letras) curtos não abrem ao usar IE7 e WSA no modo transparente

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Kei Ozaki e por Siddharth Rajpathak, engenheiros de TAC da Cisco.
 

Pergunta:

Por que alguns Web pages com Domain Name curtos como por exemplo “ya.ru” não abrem ao usar WSA no modo transparente com autenticação giraram sobre junto com substitutos do “Cookie”?

Ambiente:

  • WSA com a autenticação permitida, Cookie que está sendo usado como substituto datilografam dentro o modo transparente ou dianteiro com a autenticação ou a criptografia das credenciais permitida.
  • Navegadores IE6 ou IE7
  • Domain Name (de duas letras) curto do destino. (Exemplos www.ya.ru, www.cn.ca)

Sintomas: O IE indica a página do erro ao consultar para paginar. A autenticação de desabilitação fixa esta.

Nota: Este artigo da base de conhecimento provê o software que não é mantido nem é apoiado por Cisco.  A informação é fornecida como uma cortesia para sua conveniência. Para a assistência adicional, contacte por favor o fornecedor de software.


IE6 e IE7 não reservam ajustar Cookie para Domain Name de duas letras porque este poderia ser um risco de segurança, porque alguns domínios de nível superior (TLDs) exigem um subdomínio de duas letras adicional para todo o domínio à revelia e ajustando Cookie -2-letter significariam que o Cookie estaria compartilhado através de alguns daqueles locais, levantando um risco de segurança.

Um exemplo seria o domínio: example.co.uk.

  • Se um era ajustar um Cookie para co.uk, é índices seria enviado a alguns dos Web site comerciais do UK.

Esta é uma edição IE e não há nada que o WSA pode fazer sobre ele, porque o Cookie é necessário para a autenticação transparente, especialmente com substitutos do Cookie. Há uma configuração da chave de registro para que IE6 mude este comportamento. A informação abaixo dos documentos do artigo sobre a configuração de registro:
http://support.microsoft.com/kb/310676


A ação alternativa é isentar a autenticação para os locais de duas letras interessados do Domain Name (veja o artigo como isentar com certeza locais da autenticação).


Alternativamente, você pode especificar as expressões regulares abaixo do “na categoria feita sob encomenda isenta AUTH” URL para conseguir o mesmo efeito para todos os domínios de duas letras:

  • //([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+
  • \.([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+

Referências adicionais:

Firefox 3:  Firefox 3 usa uma lista estática dos domínios de que o Cookie não deve ser aceitado. A lista atual está disponível aqui:

http://mxr.mozilla.org/firefox/source/netwerk/dns/src/effective_tld_names.dat


Internet explorer:
http://therealcrisp.xs4all.nl/blog/2007/02/12/ie-and-2-letter-domain-names/



Document ID: 118095