대체 도메인

대체 도메인에서 사용자 업로드 파일을 렌더링하는 기능은 심층 방어 역할을 하는 보안 컨트롤입니다. 잠재적으로 악의적인 스크립트가 포함된 콘텐츠를 업로드하면 대상 사용자가 영향을 받는 콘텐츠에 접근한 후 사용자가 잠재적으로 기본 Blackboard Learn 세션에서 세션 하이재킹을 수행할 수 있습니다.

이러한 유형의 활동에 대한 보호 수단으로, 사용자는 이제 대체 도메인을 통해 사용자 업로드 파일에 접근하고 사용자 지정 HTML을 추가할 수 있습니다. 이 보안 컨트롤은 브라우저 보안 기능, 즉 '동일 원본 정책'을 활용합니다. 따라서 한 도메인 또는 하위 도메인에서 렌더링되는 사용자 업로드 파일 내의 악의적인 스크립트가 기본 Blackboard Learn 세션의 쿠키와 분리되므로 세션 정보도 분리됩니다.

이 보안 컨트롤은 잠재적으로 악의적인 사용자 업로드 파일로부터 사용자를 추가적으로 보호하기 위한 Blackboard의 보안 프레임워크의 또 다른 방어 계층입니다.

관리자는 모든 Blackboard Learn 구현에 대해 이 보안 컨트롤을 구성하는 것이 좋습니다. 이것은 Blackboard 보안 모범 사례입니다.

콘텐츠 렌더링을 위한 별도의 도메인

별도의 도메인 또는 하위 도메인을 사용하면 Blackboard Learn 서버에서 사용자 업로드 파일에 더 안전하게 접근할 수 있습니다. 이러한 별도의 도메인을 사용하면 악의적인 스크립트가 포함된 사용자 업로드 콘텐츠가 사용자의 Blackboard Learn 세션 및 사용자 데이터를 손상시키는 데 사용되는 것을 막을 수 있습니다. 별도의 도메인 또는 하위 도메인을 구성하면 모든 콘텐츠가 원래 도메인에서 별도의 도메인으로 전달됩니다(기본적으로 콘텐츠는 별도의 도메인으로 전달됨). 사용자 관점에서 이 작업은 매끄럽게 진행됩니다.

사용자 업로드 파일에 세션 하이재킹을 수행하기 위한 악의적인 스크립트가 포함되어 있는 경우 브라우저의 보안 컨트롤, 즉 '동일 원본 정책'은 사용자의 파일 렌더링 세션이 사용자의 기본 세션에 접근하지 못하게 합니다. 사용자의 기본 세션은 평가 받기, 성적 보기 등과 같은 활동에 사용됩니다. 따라서 공격이 구분되며 영향이 제한됩니다. 공격자는 일반적으로 접근 권한이 없는 콘텐츠에 대한 접근 권한은 얻을 수 있어도, 공격 대상자의 기본 세션이나 전체 사이트에 대한 접근 권한은 얻지 못합니다.

특별 참고

대체 호스트명에 위치한 Blackboard Learn 서버는 webdav 요청에만 응답합니다.

대체 호스트명에서 요청에 응답하는 모든 Blackboard Learn 설치는 일반적인 Blackboard Learn 기능을 수행하는 데 사용될 수 없습니다. 따라서 브랜드 및 기타 유사한 대체 파일 호스트명은 파일 도메인과 동일한 호스트명을 사용할 수 없습니다.

호스트명을 검토하려면 릴리즈 노트의 호스트명 구성 관리 섹션을 참조하십시오. 

대체 도메인을 활성화하면 대체 도메인 정보가 사전에 구성됩니다. Blackboard는 하나의 대체 도메인만 지원하므로 이러한 사전에 구성된 값은 변경하지 않는 것이 좋습니다. 사전에 구성된 값을 변경하려면 다음을 사용하도록 선택하면 됩니다.

  • blackboard.com
  • 사이트의 도메인(vanity URL을 사용하는 경우)

콘텐츠 제공용 대체 도메인 활성화하기

별도의 도메인을 설정할 때는 브랜드에 대해 설정한 호스트명을 사용하지 마십시오. 그렇게 하면 브랜드가 제대로 작동하지 않습니다.

  1. 관리자 패널 > 보안 > 콘텐츠 제공용 대체 도메인으로 이동합니다.
  2. 상자를 선택하여 콘텐츠 제공용 대체 도메인을 활성화합니다.
  3. 정보가 사전에 구성된 콘텐츠로 채워집니다.

    Blackboard는 하나의 대체 도메인만 지원하므로 이러한 사전에 구성된 값은 변경하지 않는 것이 좋습니다. 사전에 구성된 값을 변경하려면 blackboard.com 또는 사이트의 도메인(vanity URL을 사용하는 경우)을 사용하도록 선택하면 됩니다.

  4. 제출을 선택합니다.

대체 도메인을 구성한 후 HTML 작성이 로드되지 않으면 지원 팀의 도움을 받아 환경 도메인이 올바르게 설정 및 구성되어 있는지 확인하십시오. 관리자 패널 > 보안 > 호스트명 구성에서 호스트명 구성 설정을 검토하십시오.

콘텐츠 제공용 대체 도메인 끄기

  1. 관리자 패널 > 보안 > 콘텐츠 제공용 대체 도메인으로 이동합니다.
  2. 상자를 선택하여 콘텐츠 제공용 대체 도메인을 비활성화합니다.
  3. 제출을 선택합니다.