Безопасность : устройство защиты веб-трафика Cisco

Веб-сайты с короткими доменными именами (с двумя буквами) не открываются при использовании IE7 и WSA в прозрачном режиме

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Kei Ozaki и Siddharth Rajpathak, специалистами службы технической поддержки Cisco.
 

Вопрос:

Почему не делают некоторые веб-страницы с короткими доменными именами как, например, "ya.ru" открываются при использовании WSA в прозрачном режиме с аутентификацией, включенной вместе с заместителями 'cookie'?

Среда:

  • WSA с включенной аутентификацией, cookie, используемый в качестве суррогатного типа или в прозрачном режиме или в режиме переадресации с аутентификацией или учетным шифрованием, включен.
  • Браузеры IE6 или IE7
  • Короткое замыкание доменное имя (с двумя буквами) назначения. (Примеры www.ya.ru, www.cn.ca)

Признаки: IE отображает ошибочную страницу при просмотре к странице. Отключение аутентификации исправляет это.

Примечание: Эта статья Базы Знаний ссылается на программное обеспечение, которое не поддерживается Cisco.  Информация предоставлена как любезность для удобства. Для дальнейшей поддержки свяжитесь с поставщиком программного обеспечения.


IE6 и IE7 не позволяют устанавливать cookie для доменных имен с двумя буквами, поскольку это могло быть угрозой безопасности, потому что некоторые Домены верхнего уровня (TLDs) требуют дополнительного субдомена с двумя буквами для любого домена по умолчанию и устанавливающий - cookie с 2 буквами означали бы, что cookie будет разделен по любому из тех сайтов, излагая угрозу безопасности.

Одним примером был бы домен: пример. co.uk.

  • Если бы нужно было установить cookie для co.uk, это - содержание, был бы передан любому из коммерческих веб-сайтов UK.

Это - проблема IE и нет ничего, что WSA может делать с этим, потому что cookie необходим для прозрачной аутентификации, особенно с заместителями cookie. Существует настройка ключа реестра для IE6 для изменения этого поведения. Статья ниже информации о документах о настройке реестра:
http://support.microsoft.com/kb/310676


Обходной путь должен освободить аутентификацию для заинтересованных сайтов доменного имени с двумя буквами (См. Статью, Как освободить аутентификацию для определенных сайтов).


Также можно задать ниже регулярных выражений в "Подлинной Освобожденной" пользовательской категории URL для достижения того же эффекта для всех двух доменов буквы:

  • //([a-zA-Z0-9] [a-zA-Z0-9]) \. [a-zA-Z] +
  • \. ([a-zA-Z0-9] [a-zA-Z0-9]) \. [a-zA-Z] +

Дополнительные ссылки:

Firefox 3: Firefox 3 использует статический список доменов, от которых не должен быть принят cookie. Текущий список доступен здесь:

http://mxr.mozilla.org/firefox/source/netwerk/dns/src/effective_tld_names.dat


Internet Explorer:
http://therealcrisp.xs4all.nl/blog/2007/02/12/ie-and-2-letter-domain-names/


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.