Rails의 하위 도메인 보안

Question

Blue라고하는 응용 프로그램을 만들려고한다고 가정 해 봅니다. Blue는 모든 웹 사이트의 배경을 파란색으로 바꾸는 Ruby on Rails 응용 프로그램입니다. 또한 사용자가 로그인하여 방문한 웹 사이트를 추적하고 파란색으로 변하게 할 수 있습니다.

웹 사이트의 배경 웹 사이트를 파란색으로 바꾸기 위해 <link HREF="http://www.example.com/blue.css" type="text/css">을 응답 본문에 삽입하는 웹 프록시를 만들었습니다. 프록시는 랙 응용 프로그램으로 구현되고 Rack in Rails 3 Railscast에서 접근 방식을 사용하여 레일 노선의 내부에 배치되어

root :to => BlueProxy, :constraints => { :subdomain => "proxy" } 

나는이 방법으로 보안에 대해 우려입니다. 내 응용 프로그램에서 쿠키의 도메인은 기본적으로 .example.com이 될 것이라고 알고 있습니다. 사용자가 악성 URL을 입력하면 웹 사이트에서 사용자의 계정을 조작 할 수 있습니다. 응용 프로그램의 쿠키에 대해 www 하위 도메인 만 허용하여이 문제를 해결할 수 있습니다. 그러나 프록시가 프록시 사이트에도 쿠키를 저장할 수 있기를 바랍니다.

1. 이 나쁜 방법입니다 : 여기
   내 세 가지 질문입니까? 이 문제를 해결할 더 좋은 방법이 있습니까?
2. Rails에서 형제 하위 도메인 쿠키를 분리하는 가장 좋은 방법은 무엇입니까?
3. 누락 된 보안 문제가 있습니까?

Answer 1

이 방법은 위험하다, 나는 몇 가지 이유에 프록시를 실행에 당신을주의 :

1. 그것은 자신에 대한 호스팅 콘텐츠에 대한 불법 콘텐츠에 액세스 사람들에 이르기까지 법률 문제의 호스트를 제공합니다 이익 (및 수정).
2. 사이트가 인기를 얻으면 대역폭 (및 호스팅 비용)이 폭발적으로 늘어납니다.
3. iframe 내부에 내용을로드하는 데 ux 문제가 있습니다. 예를 들어 브라우저 뒤로 버튼이 사용자가 원하는만큼 성능이 좋지 않습니다.
4. 프록시를 실행하면 보안 측면에서 고려해야 할 여러 가지 공격 경로 (예 : 사이트를 통해 프록시 된 악의적 인 사이트에 퍼머 링크를 보내는)가 사이트에 추가로 열립니다.

백 엔드에서 오픈 프록시를 실행하는 대신 (어쩌면 완전히 열리지는 않았지만 다른 사람이 가입하는 것이 얼마나 어렵습니까?) 프런트 엔드에서 브라우저 확장 또는 greasemonkey 스크립트 사용을 고려해보십시오 레일즈 애플리케이션에서 규칙 세트를 얻은 다음 클라이언트 측에서 스타일 시트 변경 사항을 추가 할 수 있습니다.