시스템 및 의사소통 보호
보안 의사소통
TLS(전송 계층 보안)는 인터넷 통신을 보호하기 위한 프로토콜입니다. TLS는 다른 엔터티가 의사소통 내용을 읽거나 변경하는 것을 방지합니다. 블랙보드는 TLS를 활용해 웹 서버와 클라이언트 시스템 사이의 소통을 보호합니다.
세션 관리
세션 ID 수명주기
블랙보드의 각 세션은 브라우저 쿠키에 저장된 암호화된 안전한 세션 식별자로 보호됩니다. 세션 ID는 페이지 로딩, 로그인 성공, 로그아웃 후 세션 고정 공격을 방지하기 위해 순환됩니다.
쿠키
는 기본적으로 세션 관리와 관련된 쿠키를 보호하기 위한 추가 조치로 HttpOnly 및 Secure라는 두 가지 간단한 쿠키 플래그를 설정합니다.
BbRouter는 세션 관리에 사용되는 유일한 쿠키입니다. HttpOnly 플래그 세트는 잠재적으로 악의적인 클라이언트 측 스크립트에 의한 무단 액세스로부터 추가 보호 계층을 제공합니다. 블랙보드는 시스템 전체에서 TLS를 활성화할 것을 오랫동안 요구해왔습니다. 브라우저가 TLS("SSL")를 사용하지 않고 HTTP를 통해 쿠키를 전송하지 못하도록 보안 플래그가 설정되어 있습니다.
JSESSIONID 쿠키는 세션 관리와 무관하며, HttpOnly나 Secure 플래그가 설정되어 있지 않습니다.
SaaS에는 Secure 및 HttpOnly 플래그가 없는 추가적인 두 개의 쿠키 AWSELB와 AWSELBCORS가 있습니다. Blackboard는 대부분 상태를 저장하지 않지만 로드 밸런서에서 구현되는 일부 세션 선호도를 위해 쿠키를 사용합니다. AWS 문서 Classic Load Balancer에 대한 고정 세션 구성에서 이러한 쿠키의 자세한 내용을 확인할 수 있습니다.
세션 만료
세션은 사용자가 설정된 기간 동안 활동이 없으면 자동으로 만료됩니다. 세션은 명시적 로그아웃을 통해 수동으로 만료될 수 있습니다.
세션 지문
세션 핑거프린팅은 사용자 세션이 악의적인 공격자에 의해 하이재킹되었을 때를 감지하는 데 도움이 될 수 있다. 지문은 예를 들어 컴퓨터의 IP 주소나 사용 중인 브라우저 유형(사용자 에이전트)을 사용하여 사용자를 고유하게 식별하는 데 도움을 줍니다. 세션 핑거프린팅은 세션 하이재킹의 위험을 줄이기 위한 완화 조치입니다.
블랙보드에서 이 컨트롤의 활성화를 적극 권장합니다. 이 컨트롤을 올바르게 설정하려면 세션 지문 사용 및 지문 변경 시 새 세션 생성을 모두 선택해야 합니다.
세션 지문 구성
보안 탭에서 관리자 패널의 세션 지문 설정을 선택하세요. 다음 표는 사용 가능한 필드를 설명합니다.
필드 | 설명 |
|---|---|
세션 지문 사용 | 예를 선택하여 세션 지문을 활성화합니다. |
로그 위치 | 지문 변경 사항이 기록되는 위치입니다. 시스템 로그에 대한 자세한 정보를 확인하세요. |
지문 값 | 세션 지문에 포함할 값을 선택하세요(IP 주소, 사용자 에이전트 혹은 둘 다). IP 주소 변경 빈도가 사용자 에이전트 변경보다 낮아 로그인 프롬프트를 최소화하려면 IP 주소만을 사용하는 것이 좋습니다.
|
IP 주소 필터링 | 이 옵션은 미국 인터넷 서비스 제공업체 AOL의 문제를 해결하기 위해 기본 규칙 세트와 함께 추가되었습니다. 이 기능은 여전히 본래의 목적대로 작동하지만, 규칙 집합을 편집할 수 있는 제어판이 없어 다른 용도로 사용하면 안 됩니다. |
새 세션 생성 시 지문이 변경될 때 | 예를 선택하면 사용자의 지문이 변경되었을 때 새로운 세션을 강제로 생성합니다. 사용자가 현재 세션을 유지하는 중에 하이재커가 로그인 페이지를 볼 수 있는 유효한 하이재킹 시도입니다. 그러나 앞서 언급한 지문 값 섹션에서처럼 오탐이 발생하면 사용자는 다시 로그인해야 합니다. 보안과 편의성 사이에서 절충한 것입니다. 참고"지문 변경 시 새 세션 만들기"를 예로 설정하면 여러 파일 애플릿이 로드될 때 로그인 프롬프트가 표시됩니다. |