セキュリティ : Cisco Web セキュリティ アプライアンス

短い(2 文字)ドメイン名を用いる Webサイトは IE7 および WSA を透過モードで使用すると開発しません

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

著者:Cisco TAC エンジニア、Kei Ozaki および Siddharth Rajpathak
 

質問:

いくつかの Web ページはなぜのような短いドメイン名を用いる WSA を認証と透過モードで使用するときたとえば「ya.ru」開きませんつきました「クッキー」サロゲートと共にか。

環境

  • 代用ように有効に なる 認証を用いる WSA は使用されるクッキー 有効に なる 認証または資格情報 暗号化の透過的なか前方モードを打ち込みます。
  • ブラウザ IE6 か IE7
  • (宛先の 2 文字)ドメイン名をショートさせて下さい。 (例 www.ya.ruwww.cn.ca

症状: IE はページに参照するとき Error ページを表示する。 認証をディセーブルにすることはこれを固定します。

注: このナレッジ ベース記事では、シスコによる保守およびサポートの対象でないソフトウェアを参照しています。  情報は、利便性のために無償で提供されています。 さらにサポートが必要な場合は、ソフトウェア ベンダーに連絡してください。


これがセキュリティリスクを提起するセキュリティリスク、いくつかのトップレベル ドメイン(TLDs)があらゆるドメインのために追加 2 文字サブドメインをおよびデフォルトで必要とするのでクッキーはそれらのサイトの何れかを渡って共有されることを -2-letter クッキーを意味する設定 しますである可能性があるので IE6 および IE7 は 2 文字ドメイン名のためのクッキーを設定 することを割り当て。

1 つの例はドメインです: example.co.uk.

  • 1 つが co.uk のためのクッキーを設定 することだった場合それは UK の商業 Webサイトの何れかにコンテンツ 送信 されますです。

これは IE 問題であり、クッキーが透過的な認証に必要であるので、WSA がそれについてクッキーと代理をする特にすることができる何もありません。 この動作を変更する IE6 のレジストリキー設定があります。 レジストリ 設定についての技術情報下記の文書 情報:
http://support.microsoft.com/kb/310676


回避策は関連する 2 文字ドメイン名 サイトのための認証を免除することです(技術情報をある一定のサイトのための認証を免除する方法を参照して下さい)。


また、すべての 2 文字ドメインのための同じ効果を実現させるために「Auth 免除されている」カスタム URL カテゴリの下記の正規表現を規定できます:

  • //([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+
  • \.([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+

追加参照:

Firefox 3:  Firefox 3 はクッキーが受け入れるべきではないドメインのスタティックリストを使用します。 現在の一覧はここに利用できます:

http://mxr.mozilla.org/firefox/source/netwerk/dns/src/effective_tld_names.dat


Internet Explorer
http://therealcrisp.xs4all.nl/blog/2007/02/12/ie-and-2-letter-domain-names/



Document ID: 118095