Veilige communicatie

TLS (Transport Layer Security) is een protocol voor het beveiligen van internetcommunicatie. TLS zorgt ervoor dat overgebrachte gegevens niet kunnen worden gelezen of gewijzigd door een andere entiteit. Blackboard Learn gebruikt TLS om de communicatie tussen de webserver en de client te beveiligen, zoals een browser.


Sessiebeheer

Levenscyclus van sessie-ID

Elke sessie in Blackboard Learn wordt beveiligd met een cryptografisch veilige sessie-ID, die wordt opgeslagen in een browsercookie. Om het systeem te beschermen tegen sessiefixatie-aanvallen, wordt de sessie-ID regelmatig geroteerd, namelijk bij het laden van de pagina, na aanmelding en na afmelding.

Cookies

We stellen standaard twee eenvoudige cookievlaggen in als extra maatregel tegen sessie-hijacking. We doen dit voor de volgende cookies voor sessiebeheer: HttpOnly en Secure.
 
BbRouter is de enige cookie die wordt gebruikt voor sessiebeheer. De vlag HttpOnly biedt uitsluitend een extra beveiligingslaag om onbevoegde toegang door potentieel schadelijke scripts op de client te voorkomen. Voor Learn moet TLS al lang in het hele systeem zijn ingeschakeld. In een overvloed aan voorzichtigheid wordt de vlag Secure ingesteld om te voorkomen dat browsers de cookie verzenden via HTTP zonder TLS (‘SSL’).
 
De cookie JSESSIONID is niet gerelateerd aan sessiebeheer en voor deze cookie wordt noch de vlag HttpOnly noch Secure ingesteld. 
 
In SaaS zijn twee extra cookies aanwezig die niet de vlaggen Secure en HttpOnly hebben: AWSELB en AWSELBCORS. Learn is grotendeels staatloos. Er bestaat echter een mate van sessie-affiniteit die wordt geïmplementeerd op de load balancer met behulp van deze cookies. Je kunt meer informatie over deze cookies lezen in het AWS-artikel, Configureer sticky sessies voor je Classic Load Balancer..

Sessieverloop

Sessies verlopen automatisch als een gebruiker gedurende een bepaalde tijd niet actief is. Sessies kunnen ook handmatig verlopen via een expliciete afmelding.


Vingerafdrukken van sessies

Sessievingerafdrukken kunnen helpen bij het ontdekken of de sessie van een gebruiker is gekaapt door een vijandelijke bezoeker. Een vingerafdruk helpt bij de eenduidige identificatie van gebruikers, bijvoorbeeld door middel van het IP-adres van hun computer of het type browser (gebruikersagent) dat ze gebruiken. Het werken met sessievingerafdrukken is een extra veiligheidsmaatregel om het risico van het overnemen van een sessie door een kwaadwillende persoon te beperken.

Blackboard adviseert altijd om deze functie in te schakelen. Hiervoor is het noodzakelijk om zowel Sessievingerafdruk inschakelen als Een nieuwe sessie maken als de vingerafdruk verandert te selecteren.

Sessievingerafdruk configureren

Open het configuratiescherm voor systeembeheer en selecteer onder Beveiliging de optie Instellingen sessievingerafdruk. In de volgende tabel worden de beschikbare velden beschreven.

VeldBeschrijving
Sessievingerafdruk inschakelenSelecteer Ja om Sessievingerafdruk in te schakelen.
Locatie logboekDe locatie waar wijzigingen van de vingerafdrukken van gebruikers worden opgeslagen. Learn meer informatie over systeemlogboeken
Waarde vingerafdruk

Geef aan welke waarden je wilt opnemen in de sessievingerafdruk IP-adres, Gebruikersagent of beide. Om het aantal aanmeldingspogingen te beperken, wordt het aanbevolen om het IP-adres maar één keer te gebruiken, aangezien het IP-adres minder vaak moet worden gewijzigd dan de gebruikersagent.

  • IP-adres: het IP-adres is het adres van de computer van de gebruiker. Meestal verandert dit adres niet tijdens een sessie. Er zijn echter situaties waarin dit kan gebeuren, bijvoorbeeld bij gebruik van bepaalde internetproviders.
  • Gebruikersagent: de gebruikersagent geeft de bepaalde browser, het besturingssystemen en andere kleine softwaredetails over de browser aan waarmee de gebruiker de site raadpleegt. Deze waarde wordt gegenereerd door de browser en is mogelijk niet nauwkeurig. In Safari wordt de versie van het besturingssysteem bijvoorbeeld nooit gewijzigd. Gebruikers kunnen deze meestal overschrijven met browserextensies.
Filter IP-adressenDeze optie is toegevoegd met een standaardset met regels om problemen met AOL, een Amerikaanse internetprovider, op te lossen. Hoewel deze functie nog steeds werkt voor dat unieke doel, mag ze niet in een andere capaciteit worden gebruikt omdat er geen configuratiescherm is om de regelset te bewerken.
Een nieuwe sessie maken als de vingerafdruk verandert

Selecteer Ja om het maken van een nieuwe sessie af te dwingen als de vingerafdruk van een gebruiker verandert. Bij geslaagde hack-pogingen ziet de hacker alleen de aanmeldingspagina, terwijl de gebruiker verder kan gaan met zijn sessie. Als er echter onjuiste waarschuwingen worden gegenereerd (zie hierboven in de sectie Waarde vingerafdruk), moet de gebruiker zich opnieuw aanmelden. Dit is een compromis tussen veiligheid en gebruiksgemak.

Er verschijnt een aanmeldingsprompt wanneer de applet met meerdere pagina's wordt geladen en Een nieuwe sessie maken als de vingerafdruk verandert is ingesteld op Ja.