Sécurité : Dispositifs de sécurité Web Cisco IronPort

Les sites Web avec des noms de domaine (à deux lettres) courts ne s'ouvrent pas en utilisant IE7 et WSA dans le mode transparent

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Kei Ozaki et Siddharth Rajpathak, ingénieurs TAC Cisco.
 

Question :

Pourquoi est-ce que quelques pages Web avec des noms de domaine courts comme par exemple « ya.ru » ne s'ouvrent pas en utilisant WSA dans le mode transparent avec l'authentification activée avec le « Témoin » substitue ?

Environnement :

  • WSA avec l'authentification activée, Témoin étant utilisé comme de remplacement saisissent le mode transparent ou en avant avec l'authentification ou le cryptage de laisser-passer activé.
  • Navigateurs IE6 ou IE7
  • Court-circuitez le nom de domaine (à deux lettres) de destination. (Exemples www.ya.ru, www.cn.ca)

Symptômes : L'IE affiche la page d'erreur en parcourant pour paginer. Désactivant l'authentification répare ceci.

Remarque: Cet article de la base de connaissances met en référence le logiciel qui n'est pas mis à jour ou est pris en charge par Cisco.  Les informations sont données comme courtoisie pour votre commodité. Pour davantage d'assistance, contactez s'il vous plaît le fournisseur de logiciels.


IE6 et IE7 ne permet pas des Témoins de configuration pour des noms de domaine à deux lettres car ceci pourrait être un risque de sécurité, parce que quelques domaines de niveau supérieur (TLD) exigent un sous-domaine à deux lettres supplémentaire pour n'importe quel domaine par défaut et en plaçant des Témoins -2-letter signifieraient que le Témoin serait partagé à travers n'importe lequel de ces sites, posant un risque de sécurité.

Un exemple serait le domaine : example.co.uk.

  • Si on était de placer un Témoin pour co.uk, c'est contenu serait envoyé à n'importe lequel des sites Web commerciaux du R-U.

C'est une question IE et il n'y a rien que le WSA peut faire à son sujet, parce que le Témoin est nécessaire pour l'authentification transparente, particulièrement avec le Témoin substitue. Il y a une configuration de clé de registre pour qu'IE6 change ce comportement. Les informations ci-dessous de documents d'article sur les paramètres de registre :
http://support.microsoft.com/kb/310676


Le contournement est d'exempter l'authentification pour les sites à deux lettres intéressés de nom de domaine (voir l'article comment exempter l'authentification pour certains sites).


Alternativement, vous pouvez spécifier les expressions régulières ci-dessous dans le « authentique exemptez » la catégorie faite sur commande URL pour réaliser le même effet pour tous les domaines à deux lettres :

  • //([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+
  • \.([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+

Références supplémentaires :

Firefox 3 :  Firefox 3 utilise une liste statique de domaines desquels le Témoin ne devrait pas être reçu. La liste en cours est disponible ici :

http://mxr.mozilla.org/firefox/source/netwerk/dns/src/effective_tld_names.dat


Internet Explorer :
http://therealcrisp.xs4all.nl/blog/2007/02/12/ie-and-2-letter-domain-names/


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118095