Каковы потенциальные проблемы с разрешением клиентам иметь поддержку маскирования CNAME / DNS в веб-приложении?

Question

Каковы потенциальные проблемы с разрешением клиентам иметь поддержку маскирования CNAME / DNS в веб-приложении?

Наша компания разрабатывает веб-приложение, которое могут лицензировать другие компании. Как правило, наше приложение работает на:

www.company.example

И клиентская версия приложения запускается на:

client.company.example

Обычно клиент запускает собственный сайт по адресу:

www.client.example

Иногда клиенты просят, чтобы их версия приложения была доступна из:

application.client.example

Такого рода настройки часто встречаются в блогах (Wordpress, Blogger, Kickapps).

Технически, достижение этой "маскировки DNS" с помощью записи CNAME/A и некоторых настроек приложения является простым. Однако я обдумал некоторые потенциальные проблемы, связанные с этим, и хотел бы знать, можете ли вы вспомнить какие-либо другие, которые я пропустил:

1) Статистика трафика (измеряемая внешними провайдерами, например, Compette.com) будет ниже, так как трафик для company.example не будет включать трафик для application.client.example. (Местная статистика, конечно, не пострадает)

2) Потенциальное раскрытие cookie от application.client.example до company.example. Если клиент устанавливает куки в.client.example, эти куки могут быть прочитаны сервером company.example.

3) Подмена электронной почты. Электронная почта может быть отправлена с company.example с доменом application.client.example, что может вызвать проблемы с черным списком спама из-за несовместимых записей SPF.

Спасибо за любые мысли по этому поводу.

1

security web-applications dns cname domain-mask

Источник

user102895 04 ноя '09 в 18:22

1 ответ

Решение

Другие вопросы по тегам security web-applications dns cname domain-mask

user149808 05 ноя '09 в 12:36 2009-11-05 12:36 · Accepted Answer · 2009-11-05 12:36

CNAME широко использовался так долго, особенно хостинговыми компаниями. Здесь нет серьезных проблем.

Самая большая проблема для нас, когда вы должны использовать HTTPS. Очень сложно поддерживать несколько CNAME на одном сервере. Мы используем псевдонимы в сертификате (расширение SAN). Мы должны получать новый сертификат каждый раз, когда в DNS добавляется новый CNAME. Кроме этого, у нас все отлично работает.

Что касается вопросов, которые вы упомянули,

Это должно быть преимуществом. Намного проще объединить статистику, чем разделить ее. Поэтому мы предпочитаем подробные отчеты.
Файлы cookie не распределяются между доменами, даже если они находятся на одном IP-адресе. Пока приложения правильно помещаются в изолированную программную среду на сервере, они не могут читать куки друг друга.
Вы должны ограничить свой собственный исходящий SMTP-трафик на стороне сервера, чтобы не попасть в черный список.