Seguridad : Dispositivo de seguridad web Cisco

Los sitios web con los Domain Name cortos (de la dos-carta) no abren al usar IE7 y WSA en el modo transparente

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Contenido

Contribuido por Kei Ozaki y Siddharth Rajpathak, ingenieros de Cisco TAC.
 

Pregunta:

¿Por qué algunas páginas web con los Domain Name cortos como por ejemplo “ya.ru” no se abren al usar WSA en el modo transparente con la autenticación se giraron junto con los sustitutos del “Cookie”?

Entorno:

  • WSA con la autenticación habilitada, Cookie que es utilizado como sustituto teclean adentro el modo transparente o delantero con la autenticación o el cifrado de los credenciales habilitado.
  • Navegadores IE6 o IE7
  • Ponga en cortocircuito el Domain Name (de la dos-carta) del destino. (Ejemplos www.ya.ru, www.cn.ca)

Síntomas: Página del error de las visualizaciones IE al hojear para paginar. Inhabilitando la autenticación repara esto.

Nota: Este artículo sobre Knowledge Base se refiere al software que no es mantenido ni es soportado por Cisco.  La información se proporciona como cortesía para su conveniencia. Para la asistencia adicional, entre en contacto por favor al proveedor de software.


IE6 e IE7 no permite el fijar de los Cookie para los Domain Name de la dos-carta pues esto podría ser un riesgo de seguridad, porque algunos dominios del nivel superior (TLDs) requieren un subdomain adicional de la dos-carta para cualquier dominio por abandono y fijando los Cookie -2-letter significarían que el Cookie sería compartido a través de ningunos de esos sitios, planteando un riesgo de seguridad.

Un ejemplo sería el dominio: example.co.uk.

  • Si uno fuera fijar un Cookie para co.uk, es contenido sería enviado a ningunos de los sitios web comerciales UK.

Esto es un problema IE y no hay nada que el WSA puede hacer sobre él, porque el Cookie es necesario para la autenticación transparente, especialmente con el Cookie sustituye. Hay una configuración de clave de registro para que IE6 cambie este comportamiento. La información abajo de los documentos del artículo sobre la configuración del registro:
http://support.microsoft.com/kb/310676


La solución alternativa está eximir la autenticación para los sitios en cuestión del Domain Name de la dos-carta (véase el artículo cómo eximir los sitios de la autenticación con certeza).


Alternativamente, usted puede especificar las expresiones normales abajo en la categoría de encargo exenta del “auth” URL para alcanzar el mismo efecto para los dos dominios de la carta:

  • //([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+
  • \.([a-zA-Z0-9][a-zA-Z0-9])\.[a-zA-Z]+

Referencias adicionales:

Firefox 3:  Firefox 3 utiliza una lista estática de dominios de los cuales el Cookie no deba ser validado. El objeto list actual está disponible aquí:

http://mxr.mozilla.org/firefox/source/netwerk/dns/src/effective_tld_names.dat


Internet Explorer:
http://therealcrisp.xs4all.nl/blog/2007/02/12/ie-and-2-letter-domain-names/



Document ID: 118095