Proteção do sistema e das comunicações

Comunicação segura

Transport Layer Security (TLS) é um protocolo para proteger as comunicações da internet. A TLS garante que uma comunicação não seja lida ou alterada por outra entidade. A Blackboard usa TLS para proteger as comunicações entre o servidor web e a máquina cliente.

Gerenciamento de sessões

Ciclo de vida do código da sessão

Cada sessão no Blackboard é protegida por um identificador de sessão criptograficamente seguro, armazenado dentro de um cookie do navegador. Para ajudar a proteger contra ataques de fixação de sessão, o identificador da sessão é girado no carregamento da página, após o acesso bem-sucedido e após o logoff.

Cookies

Definimos dois sinalizadores de cookies simples como uma medida adicional contra o sequestro de sessão no cookie relacionado ao gerenciamento de sessões por padrão: HttpOnly e Secure.

BbRouter é o único cookie usado para gerenciamento de sessões. Ele tem o sinalizador HttpOnly definido, que fornece uma camada adicional de proteção contra acesso não autorizado por scripts do lado do cliente potencialmente mal-intencionados. A Blackboard há muito exige que o TLS seja habilitado em todo o sistema. Com muita cautela, o sinalizador Seguro é definido para impedir que os navegadores enviem o cookie por HTTP sem TLS ("SSL").

O cookie JSESSIONID não está relacionado a gerenciamentos de sessão e não possui o sinalizador HttpOnly nem Secure definido.

No Software como serviço, dois cookies adicionais estão presentes que não têm os sinalizadores Secure e HttpOnly: AWSELB e AWSELBCORS. O Blackboard é em grande parte sem estado, no entanto, existe um mínimo de afinidade de sessão que é implementada no balanceador de carga usando esses cookies. Você pode saber mais sobre esses cookies no artigo da AWS, Configurar sessões fixas para o Classic Load Balancer .

Expiração da sessão

As sessões expiram automaticamente após um usuário ficar inativo além de uma duração pré-configurada. As sessões também podem expirar manualmente por meio de um logoff explícito.

Impressão digital da sessão

A impressão digital da sessão pode ajudar a detectar quando a sessão de um usuário for sequestrada por algum invasor mal-intencionado. A impressão digital ajuda a identificar usuários de maneira exclusiva, por exemplo, usando o endereço IP do computador ou o tipo de navegador (Agente do usuário) utilizado. A impressão digital da sessão é um controle atenuante para reduzir o risco de invasão de sessão por um invasor mal-intencionado.

A Blackboard recomenda habilitar esse controle. Para habilitar corretamente esse controle, você deve selecionar Habilitar execução de impressões digitais da sessão e Criar nova sessão quando a impressão digital mudar.

Configurar a impressão digital de sessão

No Painel do administrador, em Segurança, selecione Configurações de impressão digital da sessão. A tabela a seguir descreve os campos disponíveis.

Campo	Descrição
Habilitar impressão digital de sessão	Clique em Sim para habilitar a execução de impressões digitais da sessão.
Localização do log	O local no qual as alterações de impressões digitais dos usuários serão registradas. Saiba mais sobre registros do sistema.
Valor da impressão digital	Escolha quais valores incluir na impressão digital da sessão: endereço IP, agente do usuário ou ambos. Para minimizar vários prompts de acesso, é recomendável usar apenas o endereço IP, pois as alterações no endereço IP devem ser menos frequentes do que as alterações no User Agent. Endereço IP: O endereço IP é o endereço do computador do usuário. Geralmente ele não mudará durante uma sessão. No entanto, há casos em que isso pode ocorrer, por exemplo, ao usar determinados provedores de serviços de internet. Agente do usuário: O agente do usuário indica o navegador específico, o sistema operacional e outros detalhes menores do software sobre o navegador que o usuário está usando para acessar o site. Esse valor é gerado pelo navegador e pode não ser preciso. Por exemplo, no Safari, a versão do sistema operacional nunca muda. Os usuários geralmente podem substituí-lo por extensões de navegador.
Filtrar endereços IP	Essa opção foi adicionada com um conjunto de regras padrão para contornar problemas com a AOL, um provedor de serviços de internet dos EUA. Embora esse recurso ainda funcione para essa finalidade exclusiva, ele não deve ser usado em nenhuma outra capacidade porque não há painel de controle para editar o conjunto de regras.
Criar nova sessão quando a impressão digital for alterada	Clique em Sim para forçar uma nova sessão a ser criada quando a impressão digital de um usuário mudar. Em tentativas válidas de sequestro, essa opção faz o invasor ver a página de acesso ao mesmo tempo que o usuário mantém a sessão atual. Porém, se ocorrerem falsos positivos (conforme mencionado acima, na seção Valor da impressão digital), o usuário deverá acessar novamente. É uma questão entre segurança e conveniência. Nota Um prompt de acesso será exibido quando o applet de vários arquivos for carregado quando você definir “Criar nova sessão quando a impressão digital mudar” para Sim.