系统和通信保护
安全通信
传输层安全性 (TLS) 是一种用于保护 Internet 通信的协议。TLS 可确保通信不被其他实体读取或更改。Blackboard 使用 TLS 来保护 Web 服务器和客户端计算机之间的通信。
会话管理
会话 ID 生命周期
Blackboard 中的每个会话都受加密安全会话标识符的保护,该标识符存储在浏览器 cookie 中。为了帮助防止会话固定攻击,会话标识符会在页面加载、成功登录后和注销后进行轮换。
Cookie
默认情况下,我们设置了两个简单的 Cookie 标志,作为防止会话管理相关 Cookie 上的会话劫持的附加措施:HttpOnly 和 Secure。
BbRouter 是唯一用于会话管理的 cookie。它设置了 HttpOnly 标志,该标志提供了额外的保护层,防止潜在恶意客户端脚本未经授权的访问。Blackboard 长期以来一直要求在系统范围内启用 TLS。为了谨慎起见,设置了安全标志以防止浏览器通过没有 TLS 的 HTTP 发送 cookie(“SSL”)。
JSESSIONID Cookie 与会话管理无关,也没有设置 HttpOnly 或 Secure 标志。
在 SaaS 中,存在两个没有 Secure 和 HttpOnly 标志的额外 cookie:AWSELB 和 AWSELBCORS。Blackboard 在很大程度上是无状态的,但是,存在少量会话关联性,该关联性使用这些 cookie 在负载均衡器上实现。您可以从 AWS 文章为您的经典负载均衡器配置粘性会话 中了解有关这些 Cookie 的更多信息。
会话过期
在用户空闲时间超过预先配置的持续时间之后,会话将自动到期。也可以通过显式注销手动使会话到期。
会话指纹识别
当用户的会话是否已被恶意攻击者入侵时,会话指纹可以帮助检测。例如,指纹通过使用用户计算机的 IP 地址或用户使用的浏览器(用户代理)类型帮助专门识别用户。会话指纹是降低恶意攻击者入侵会话风险的控制方法。
Blackboard 强烈建议启用此控件。要正确启用此控件,您必须同时选择启用会话指纹和当指纹更改时创建新会话。
配置会话指纹识别
在“管理员面板”的“安全下,选择会话指纹设置。下表介绍了可用的字段。
字段 | 描述 |
|---|---|
启用会话指纹识别 | 选择是可启用会话指纹识别功能。 |
日志位置 | 将记录对用户指纹所做的更改的位置。详细了解系统日志。 |
指纹值 | 选择要包含在会话指纹中的值:IP 地址、用户代理或两者。为了尽量减少多次登录提示,建议仅使用 IP 地址,因为对 IP 地址的更改应该低于对用户代理的更改频率。
|
过滤 IP 地址 | 此选项与默认规则集一起添加,以解决美国互联网服务提供商 AOL 的问题。虽然此功能仍然适用于该独特目的,但它不应用于任何其他容量,因为没有控制面板来编辑规则集。 |
指纹更改时创建新会话 | 选择是在用户的指纹更改时强制创建新会话。对于有效的入侵尝试,这样做可使入侵者看到登录页面的同时,用户保持其当前的会话。但是,如果发生任何误报(如在以上“指纹值”部分中所提及的那样),则用户将必须再次登录。这是在安全与方便之间的折衷方式。 注意如果将“在指纹更改时创建新会话”设置为“是”,则在进行多个文件小程序加载时会显示登录提示。 |