Communications sécurisées

TLS (Transport Layer Security) est un protocole de protection des communications Internet. Le protocole TLS garantit que les communications ne sont pas lues ou modifiées par une autre entité. Blackboard Learn utilise le protocole TLS pour sécuriser les communications entre le serveur Web et le terminal client.


Gestion de la session

Cycle de vie de l'ID de session

Chaque session dans Blackboard Learn est protégée par un identificateur de session sécurisé au niveau du chiffrement, stocké dans un cookie de navigateur. Pour vous protéger des attaques par fixation de session, l'identifiant de session connaît une rotation lors du chargement de la page, après la connexion et la déconnexion.

Cookies

Nous définissons deux indicateurs de cookies simples comme une mesure supplémentaire contre le détournement de session sur les cookies liés à la gestion de session par défaut : HttpOnly et Secure.
 
BbRouter est le seul cookie utilisé pour la gestion des sessions. Il dispose de l'indicateur HttpOnly activé, qui fournit une couche de protection supplémentaire contre les accès non autorisés par des scripts malveillants côté client. Learn exige depuis longtemps que le protocole TLS soit activé sur l'ensemble du système. Par mesure de prudence, l'indicateur Secure est défini pour empêcher les navigateurs d'envoyer le cookie via HTTP sans TLS (« SSL »).
 
Le cookie JSESSIONID n'est pas lié à la gestion des sessions et n'a pas d'indicateur HttpOnly ou Secure défini.
 
Dans l'environnement SaaS, deux cookies supplémentaires qui ne disposent pas des indicateurs Secure et HttpOnly sont présents : AWSELB et AWSELBCORS. Learn est en grande partie sans état, cependant, il existe un minimum d'affinité de session qui est implémenté sur l'équilibreur de charge à l'aide de ces cookies. Pour en savoir plus sur ces cookies, consultez l'article d'AWS Configurer des sessions permanentes pour votre Classic Load Balancer.

Expiration de la session

Les sessions expirent automatiquement après qu'un utilisateur a été inactif au-delà d'une durée prédéfinie. Il est également possible de mettre fin à une station manuellement via une déconnexion explicite.


Empreintes digitales de session

Les empreintes digitales de session peuvent aider à détecter lorsque la session d'un utilisateur a été détournée par un attaquant malveillant. Une empreinte digitale n'aide qu'à identifier les utilisateurs, par exemple, en utilisant l'adresse IP de leur ordinateur ou le type de navigateur (agent utilisateur) qu'ils ont utilisé. Les empreintes digitales de session constituent un outil permettant d'atténuer le risque de détournement par un attaquant malveillant.

Blackboard recommande vivement d'activer ce contrôle. Pour activer correctement ce contrôle, vous devez sélectionner les deux options Activer la reconnaissance de l'empreinte digitale de session et Créer une session lorsque l'empreinte digitale change.

Configurer la reconnaissance de l'empreinte digitale de session

Dans le Panneau de configuration de l'administrateur, sous Sécurité, sélectionnez Paramètres de l'empreinte digitale de session. Le tableau ci-contre décrit les champs disponibles.

ChampDescription
Activer la reconnaissance de l'empreinte digitale de sessionSélectionnez Oui pour activer les empreintes digitales de la session.
Emplacement du journalL'emplacement où les modifications apportées aux empreintes digitales des utilisateurs seront journalisées. En savoir plus sur les journaux système
Valeur de l'empreinte digitale

Choisissez les valeurs à inclure dans les empreintes digitales de la session : adresse IP, agent utilisateur ou les deux. Afin d'éviter les invites de connexion multiples, nous vous recommandons d'utiliser uniquement l'adresse IP, car les modifications apportées à l'adresse IP sont généralement moins fréquentes que les modifications apportées à l'agent utilisateur.

  • Adresse IP : l'adresse IP est l'adresse de l'ordinateur de l'utilisateur. Généralement, elle ne change pas pendant une session. Cependant, cela peut se produire dans certains cas. Par exemple, lors de l'utilisation de certains fournisseurs de services Internet.
  • Agent utilisateur : l'agent utilisateur indique le navigateur utilisé, le système d'exploitation et d'autres détails logiciels mineurs à partir duquel un utilisateur accède au site. Cette valeur est générée par le navigateur et peut ne pas être exacte. Par exemple, sur Safari, la version du système d'exploitation ne change jamais. Les utilisateurs peuvent généralement le remplacer par des extensions de navigateur.
Filtrer les adresses IPCette option a été ajoutée avec un ensemble de règles par défaut pour contourner les problèmes rencontrés par AOL, fournisseur de services Internet aux États-Unis. Bien que cette fonctionnalité fonctionne toujours à cette fin spécifique, elle ne doit pas être utilisée à d'autres fins, car il n'y a pas de panneau de configuration pour modifier l'ensemble de règles.
Créer une nouvelle session lorsque l'empreinte digitale change

Sélectionnez Oui pour forcer la création d'une nouvelle session lorsque l'empreinte digitale d'un utilisateur change. Lorsque les tentatives de détournement sont réelles, l'attaquant revient à la page de connexion tandis que l'utilisateur usurpé reste dans la session actuelle. Toutefois, si un faux positif se produit (comme indiqué ci-dessus dans la section Valeur de l'empreinte digitale), l'utilisateur doit à nouveau se connecter. C'est à vous de choisir entre la sécurité et la commodité.

Une invite de connexion apparaît lors du chargement de l'applet de plusieurs fichiers lorsque vous définissez l'option « Créer une nouvelle session lorsque l'empreinte digitale change » sur Oui.