安全 : Cisco IronPort Web 安全设备

有短的(两个字母)域名的网站不打开,当曾经IE7和WSA在透明模式

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

目录

贡献用Kei尾崎和Siddharth Rajpathak, Cisco TAC工程师。
 

问题:

与短的域名的一些网页为什么类似“ya.ru”不打开,当曾经WSA在透明模式与验证时与‘例如Cookie’代理人一起打开了?

环境

  • 与启用的验证的WSA,作为代理人使用的Cookie输入与启用的验证或证件加密的透明或向前模式。
  • 浏览器IE6或IE7
  • 短缺(两个字母)域名的位置。(示例www.ya.ruwww.cn.ca)

症状:当浏览对页时, IE显示错误页。禁用的验证修复此。

注意:此知识库文章参考没有维护也思科不支持的软件。  信息被提供作为礼貌为您的便利。对于进一步协助,请联系软件供应商。


IE6和IE7不允许设置Cookie两个字母域名,因为这可能是安全风险,因为一些顶级域(TLDs)默认情况下要求所有域的一个另外的两个字母子域和设置-2-letter Cookie含义Cookie在任何那些站点间将共享,形成安全风险。

一示例是域:example.co.uk.

  • 如果一个是设置co.uk的一Cookie,它是内容将发送对任何UK的商业网站。

这是IE问题,并且WSA能对此执行的没什么,因为Cookie为透明验证是必要的,特别是与Cookie指定代理。有IE6的一个注册关键设置能更改此行为。关于注册表设置的条款下面的文档信息:
http://support.microsoft.com/kb/310676


应急方案是豁免担心的两个字母域名站点的验证(请参阅条款如何豁免某些站点的验证)。


或者,您能指定在“验证豁免”自定义URL类别的下面的常规表达达到所有双字母的域的同样效果:

  • //([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+
  • \.([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+

另外的参考:

Firefox 3 : Firefox 3使用Cookie不应该接受域的静态列表。当前列表可用的在这里:

http://mxr.mozilla.org/firefox/source/netwerk/dns/src/effective_tld_names.dat


Internet Explorer :
http://therealcrisp.xs4all.nl/blog/2007/02/12/ie-and-2-letter-domain-names/


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118095