Skip to main content

Systeem- en communicatiebeveiliging

Veilige communicatie

TLS (Transport Layer Security) is een protocol voor het beveiligen van internetcommunicatie. TLS zorgt ervoor dat overgebrachte gegevens niet kunnen worden gelezen of gewijzigd door een andere entiteit. Blackboard gebruikt TLS om de communicatie tussen de webserver en de clientcomputer te beveiligen.

Sessie beheer

Levenscyclus van sessie-id's

Elke sessie in Blackboard wordt beveiligd door een cryptografisch beveiligde sessie-ID, die wordt opgeslagen in een browsercookie. Om het systeem te beschermen tegen sessiefixatie-aanvallen, wordt de sessie-ID regelmatig geroteerd, namelijk bij het laden van de pagina, na aanmelding en na afmelding.

Cookies

We stellen standaard twee eenvoudige cookievlaggen in als extra maatregel tegen sessiekaping op de sessiebeheergerelateerde cookie: Only en Secure.

BbRouter is de enige cookie die wordt gebruikt voor sessiebeheer. Het heeft de HttpOnly vlaggenset die een extra beschermingslaag biedt tegen ongeoorloofde toegang door mogelijk kwaadaardige scripts aan de clientzijde. Blackboard vereist al lang dat TLS systeembreed is ingeschakeld. Uit voorzorg is de vlag Secure ingesteld om te voorkomen dat browsers de cookie via HTTP verzenden zonder TLS ("SSL").

De cookie JSESSIONID is niet gerelateerd aan sessiebeheer en heeft niet de HttpOnly of de Secure vlag ingesteld.

In SaaS zijn twee extra cookies aanwezig die niet de Secure en HttpOnly vlaggen hebben: AWSELB en AWSELBCORS. Blackboard is grotendeels stateless, maar er bestaat een zekere mate van sessieaffiniteit die met behulp van die cookies op de load balancer wordt geïmplementeerd. U kunt meer over deze cookies lezen in het AWS-artikel Configureer plaksessies voor uw Classic Load Balancer .

Vervaldatum van sessie

Sessies verlopen automatisch als een gebruiker gedurende een bepaalde tijd niet actief is. Sessies kunnen ook handmatig verlopen via een expliciete afmelding.

Vingerafdrukken van sessies

Sessievingerafdrukken kunnen helpen bij het ontdekken of de sessie van een gebruiker is gekaapt door een vijandelijke bezoeker. Een vingerafdruk helpt bij de eenduidige identificatie van gebruikers, bijvoorbeeld door middel van het IP-adres van hun computer of het type browser (gebruikersagent) dat ze gebruiken. Het werken met sessievingerafdrukken is een extra veiligheidsmaatregel om het risico van het overnemen van een sessie door een kwaadwillende persoon te beperken.

Blackboard adviseert altijd om deze functie in te schakelen. Hiervoor is het noodzakelijk om zowel Sessievingerafdruk inschakelen als Een nieuwe sessie maken als de vingerafdruk verandert te selecteren.

Sessievingerafdrukken configureren

Selecteer in het configuratiescherm voor systeembeheer onder Beveiliging de optie Instellingen voor sessievingerafdrukken. In de volgende tabel worden de beschikbare velden beschreven.

Veld

Beschrijving

Sessievingerafdrukken inschakelen

Selecteer Ja om Sessievingerafdruk in te schakelen.

Log locatie

De locatie waar wijzigingen van de vingerafdrukken van gebruikers worden opgeslagen. Meer informatie over systeemlogboeken.

Waarde vingerafdruk

Kies welke waarden u wilt opnemen in de sessievingerafdruk: IP-adres, gebruikersagent of beide. Om meerdere aanmeldingsprompts te minimaliseren, wordt aanbevolen om alleen het IP-adres te gebruiken, aangezien wijzigingen in het IP-adres minder vaak voorkomen dan wijzigingen in de User Agent.

  • IP-adres: Het IP-adres is het adres van de computer van de gebruiker. Meestal verandert dit adres niet tijdens een sessie. Er zijn echter gevallen waarin dit kan gebeuren, bijvoorbeeld bij het gebruik van bepaalde internet service providers.

  • User Agent: De user-agent geeft de specifieke browser, het besturingssysteem en andere kleine softwaredetails aan over de browser die de gebruiker gebruikt om toegang te krijgen tot de site. Deze waarde wordt gegenereerd door de browser en is mogelijk niet nauwkeurig. In Safari wordt de versie van het besturingssysteem bijvoorbeeld nooit gewijzigd. Gebruikers kunnen het meestal overschrijven met browserextensies.

IP-adressen filteren

Deze optie is toegevoegd met een standaardregelset om problemen met AOL, een Amerikaanse internet service provider, te omzeilen. Hoewel deze functie nog steeds werkt voor dat unieke doel, mag deze niet in een andere hoedanigheid worden gebruikt, omdat er geen configuratiescherm is om de regelset te bewerken.

Maak een nieuwe sessie wanneer de vingerafdruk verandert

Selecteer Ja om het maken van een nieuwe sessie af te dwingen als de vingerafdruk van een gebruiker verandert. Bij geslaagde hack-pogingen ziet de hacker alleen de aanmeldingspagina, terwijl de gebruiker verder kan gaan met zijn sessie. Als er echter onjuiste waarschuwingen worden gegenereerd (zie hierboven in de sectie Waarde vingerafdruk), moet de gebruiker zich opnieuw aanmelden. Dit is een compromis tussen veiligheid en gebruiksgemak.

Opmerking

Er verschijnt een aanmeldingsprompt wanneer de applet met meerdere pagina's wordt geladen en Een nieuwe sessie maken als de vingerafdruk verandert is ingesteld op Ja.