Un sous-domaine hébergé en externe présente-t-il un risque pour la sécurité?

Une entreprise pour laquelle j'ai développé un site Web souhaite conserver son domaine actuel, qui est quelque chose comme company.parentcompany.com. Parce que nous voulions utiliser un CMS différent, la société mère a refusé de le prendre en charge ou même de l'héberger et nous a demandé de payer pour l'hébergement tiers.

Maintenant que nous avons fait cela, ils ne feront pas d'enregistrement A pour le sous-domaine pointant vers le nouveau serveur, indiquant qu'il s'agit d'un risque de sécurité. Je ne suis en aucun cas un expert DNS, mais cela me semble être un BS total. J'ai vu cela discuté plusieurs fois, mais je n'ai jamais vu personne soulever des problèmes de sécurité.

Puis-je lutter contre cela, ou sont-ils vraiment corrects?

security dns subdomain

— Volonté
source

Différents sous-domaines peuvent partager des cookies (cela dépend du chemin des cookies utilisé), et donc le tiers pourrait voler des cookies utilisés pour s'authentifier sur le domaine principal. C'est également le cas si votre CMS est piraté.

Vous pouvez obtenir un nouveau domaine pour votre nouveau site Web et configurer une redirection sur votre ancien domaine. Cela devrait prendre en charge la plupart des problèmes de sécurité.

Il peut également y avoir des problèmes concernant les scripts intersites. Je pense que votre site Web hébergé en externe pourrait être autorisé à faire des demandes au site parent avec les cookies du site parent. Mais je ne l'ai jamais essayé, donc je ne sais pas si les navigateurs envoient aussi les .parentsitecookies dans ce cas.

— CodesInChaos
source

Pour autant que je sache, tous les cookies du site parent ont le domaine .parentcompany.com (et chemin /), et tous les services qui nécessitent une authentification semblent être sur des sous-domaines distincts de toute façon (si je comprends bien, ce type d'attaque uniquement s'applique au domaine parent, pas aux autres sous-domaines?). Étant donné que cela dépend de la façon dont le domaine parent génère des cookies, cela ne leur impose-t-il pas la charge d'avoir des cookies sécurisés?

Je n'en suis pas sûr. Il peut exister d'autres façons de considérer différents sous-domaines comme faisant partie de la même zone de confiance.

D'accord. Merci pour votre perspicacité. Je suppose que nous devrons également payer pour notre propre domaine. Normalement, je n'insisterais pas autant sur l'utilisation du sous-domaine, mais la "société mère" facture 30 $ par mois (en tant que "frais de consultation"!) Juste pour le sous-domaine !!! Et maintenant, tout ce qu'ils font, c'est le rediriger!