代替ドメイン
代替ドメインからユーザアップロードファイルをレンダリングすることは、多層防御のセキュリティ制御です。害を及ぼすおそれがあるスクリプトを含むコンテンツをユーザがアップロードすることにより、影響を受けたコンテンツにターゲットユーザがアクセスすると、メインのBlackboard Learnセッションに対してセッションハイジャックが行われる可能性があります。
この手の活動に対する防御手段として、ユーザは、代替ドメインを介してユーザアップロードファイルにアクセスし、カスタムHTMLを追加できるようになりました。このセキュリティ制御は、"同一生成元ポリシー"というブラウザのセキュリティ機能を利用します。その結果、1つのドメインまたはサブドメインでレンダリングされた、ユーザアップロードファイルに含まれる悪意のあるスクリプトは、Blackboard LearnのプライマリセッションのCookieから、つまりセッション情報から分離されます。
このセキュリティ制御は、Blackboardのセキュリティフレームワークのもう1つの防御層で、害を及ぼすおそれのあるユーザアップロードファイルからユーザをさらに保護します。
Blackboardでは、管理者がすべてのBlackboard Learn実装でこのようなセキュリティ制御を構成することをお勧めします。これはBlackboardのセキュリティのベストプラクティスです。
コンテンツをレンダリングするための個別ドメイン
個別ドメインまたはサブドメインは、Blackboard Learnサーバからユーザアップロードファイルにアクセスするためのより安全な方法を提供します。この個別ドメインは、悪意のあるスクリプトを含むユーザアップロードファイルによって、ユーザのBlackboard Learnセッション、したがってユーザデータが漏えいするのを防ぎます。個別ドメインまたはサブドメインが構成されていると、すべてのコンテンツが元のドメインから個別ドメインに引き渡され、基本的にコンテンツが個別ドメインに転送されます。ユーザにとって、これは完全にシームレスです。
ユーザアップロードファイルに、セッションハイジャックを実行するための悪意のあるスクリプトが含まれていた場合、ブラウザのセキュリティ制御である"同一生成元ポリシー"により、ユーザのファイルレンダリングセッションがユーザのプライマリセッションにアクセスするのを防ぐのに役立ちます。ユーザのプライマリセッションは、アセスメントを受けたり、成績を表示するなどのアクティビティに使用されます。したがって、攻撃がコンパートメント化され、影響は限定的となります。攻撃者は、通常アクセスできないコンテンツにアクセスできるようになるかもしれませんが、被害者のプライマリセッションやサイト全体にアクセスすることはできません。
特記事項
代替ホスト名にあるBlackboard Learnサーバは、webdavリクエストにのみ応答します。
代替ホスト名でリクエストに応答するBlackboard Learnインストールを使用して、通常のBlackboard Learn機能を実行することはできません。このため、ブランドやその他の同様の代替ファイルホスト名は、ファイルドメインと同じホスト名を使用できません。
ホスト名を確認するには、リリースノートの「ホスト名構成管理」セクションを参照してください。
代替ドメイン情報は、代替ドメインを有効にすると事前設定されます。Blackboardは1つの代替ドメインしかサポートしていないので、この事前設定値は変更しないことをお勧めします。事前設定値を変更したい場合は、以下を使用することができます。
- blackboard.com
- バニティURLを使用している場合は、サイトのドメイン
コンテンツを扱う代替ドメインを有効にする
個別ドメインを設定する場合、ブランド用に設定したホスト名は使用しないでください。使用すると、ブランドが適切に機能しなくなります。
- [管理パネル] > [セキュリティ] > [コンテンツを扱う代替ドメイン]に移動します。
- ボックスを選択して、[コンテンツを扱う代替ドメイン]を有効にします。
- 情報には、事前設定された内容が入力されます。
Blackboardは1つの代替ドメインしかサポートしていないので、この事前設定値は変更しないことをお勧めします。事前設定値を変更したい場合は、blackboard.com、またはバニティURLを使用している場合はサイトのドメインの使用を選択できます。
- [送信]を選択します。
代替ドメインを設定した後にHTMLオーサリングのロードが失敗する場合、サポートと連携して使用環境のドメインが正しく設定されていることを確認してください。[管理パネル] > [セキュリティ] > [ホスト名設定]でホスト名の設定を確認します。
コンテンツを扱う代替ドメインをオフにする
- [管理パネル] > [セキュリティ] > [コンテンツを扱う代替ドメイン]に移動します。
- ボックスを選択して、[コンテンツを扱う代替ドメイン]をオフにします。
- [送信]を選択します。