Çapraz Etki Alanı Sorunu

Peter BERKING; Shane GALLAGHER

Bir süredir, tarayıcılar, başka bir web alanındaki bir sunucuya doğrudan bağlanmasını sağlayan bir sunucuyu yasaklayan bir güvenlik özelliğini içeriyor. Kullanıcılar tarayıcılarını belirli bir web alanındaki bir sunucuya yönlendirdiklerinde, orada varsayılan bir güven ve bu güvene dayanarak içerik almak için açık bir seçim vardır. Eğer bu sunucu tek taraflı olarak ve kullanıcının haberi olmadan başka bir alandaki başka bir sunucudan (zorunlu olarak güvenilmemesi gereken) içerik (özellikle de istemci tarafı komut dosyaları) alırsa, ikinci sunucuyu seçen bir bilgisayar korsanı, kullanıcılara birincil güvenilir sunucu üzerinden zararlı kod gönderebilir. Bu konuda daha fazla bilgi için http://en.wikipedia.org/wiki/Cross-site_scripting adresini ziyaret ediniz.

Aşağıda listelenenlere benzer bir geçici çözüm kullanmanın yasaklanması, web alanları arası sorun, içeriğinizin ÖYS ile aynı etki alanında (yani sunucuda) saklanmasını gerektirir. Başka bir deyişle, ÖYS www.myLMS.com adresindeyse, içerik www.myContent.com adresinde olamaz; içerik ayrıca www.myLMS.com adresinden de gelmelidir.

Bu sorun, ÖYS uygulamalarında, ÖYS’den başka bir yerde ayrı bir içerik havuzu sunucusu bulunan uygulamalarda ortaya çıkmaktadır; bu içerik deposu sunucusu başka bir kuruluş sunucusu olabilir veya başka bir ticari kuruluşun güvenlik duvarının arkasındaki ticari içeriğin deposu olabilir. Web alanları arası güvenlik özelliği, ÖYS’den ayrı bir etki alanında bulunan içeriğe erişime izin vermez.

Kullanıcının içeriğe doğrudan diğer alandaki içerik deposundan (belki de ayrı bir ÖYS aracılığıyla) erişebilmesi ve başlatabilmesi bir problem olmasa bile, izleme bilgisini iletme problemi devam eder (örneğin, kurs tamamlama durumu, ÖYS için değerlendirme puanları vs.).

Etki alanları arası sorunla ilgili birkaç geçici çözüm vardır:

Birincil sunucunun, diğer etki alanındaki sunucuya proxy olarak hizmet vermesine izin verilmesi
(bk. http://developer.yahoo.com/javascript/howto-proxy.html ).
JSONP (bk. http://en.wikipedia.org/wiki/JSONP#JSONP ).
Çerez güvenliği (bk. http://en.wikipedia.org/wiki/CrAKY-site_scripting#Mitigation ).

Lisans

Creative Commons Atıf-Gayri Ticari-Aynı Şekilde Paylaş 4.0 Uluslararası Lisansı için ikon

Öğretim Yönetim Sistemi Seçimi Klavuzu Copyright © 2020 by Açık Mektep is licensed under a Creative Commons Atıf-Gayri Ticari-Aynı Şekilde Paylaş 4.0 Uluslararası Lisansı, except where otherwise noted.

Lisans

Bu Kitabı Paylaş