Comunicação segura

Transport Layer Security (TLS) é um protocolo para proteger as comunicações da internet. A TLS garante que uma comunicação não seja lida ou alterada por outra entidade. O Blackboard Learn usa a TLS para proteger as comunicações entre o servidor da web e a máquina do cliente.


Gerenciamento de sessão

Ciclo de vida do código da sessão

Cada sessão do Blackboard Learn é protegida por um identificador de sessão criptograficamente seguro, armazenado em um cookie do navegador. Para ajudar a proteger contra ataques de fixação de sessão, o identificador da sessão é girado no carregamento da página, após o logon bem-sucedido e após o logoff.

Cookies

Nós definimos, por padrão, dois sinalizadores de cookie simples como uma medida adicional contra o sequestro de sessão no cookie relacionado ao gerenciamento da sessão: HttpOnly e Seguro.
 
BbRouter é o único cookie usado para o gerenciamento de sessão. Ele tem o sinalizador HttpOnly configurado, o que dá uma camada adicional de proteção contra acesso não autorizado por scripts potencialmente mal-intencionados por parte do cliente. O Learn exige há muito tempo que a TLS seja ativada em todo o sistema. Em uma abundância de cautela, o sinalizador Seguroé definido para impedir que os navegadores enviem o cookie via HTTP sem TLS ("SSL").
 
O cookie JSESSIONID não está relacionado ao gerenciamento de sessão e não tem o sinalizador HttpOnly nem o sinalizador Seguro definido. 
 
No software como serviço, estão presentes dois cookies adicionais que não têm os sinalizadores Seguro e HttpOnly: AWSELB e AWSELBCORS. O Learn fica, em grande parte, sem estado, no entanto, existe um mínimo de afinidade da sessão implementado no balanceador de carga usando esses cookies. Você pode saber mais sobre esses cookies no artigo da AWS, Configure sessões fixadas para o Classic Load Balancer.

Expiração da sessão

As sessões expiram automaticamente após um usuário ficar inativo além de uma duração pré-configurada. As sessões também podem expirar manualmente por meio de um logoff explícito.


Impressão digital da sessão

A impressão digital da sessão pode ajudar a detectar quando a sessão de um usuário for sequestrada por algum invasor mal-intencionado. A impressão digital ajuda a identificar usuários de maneira exclusiva, por exemplo, usando o endereço IP do computador ou o tipo de navegador (Agente do usuário) utilizado. A impressão digital da sessão é um controle atenuante para reduzir o risco de invasão de sessão por um invasor mal-intencionado.

A Blackboard recomenda habilitar esse controle. Para habilitar corretamente esse controle, você deve selecionar Habilitar execução de impressões digitais da sessão e Criar nova sessão quando a impressão digital mudar.

Configurar execução de impressões digitais da sessão

No Painel do administrador, em Segurança, selecione Configurações de impressão digital de sessão. A tabela a seguir descreve os campos disponíveis.

CampoDescrição
Habilitar execução de impressões digitais da sessãoSelecione Sim para habilitar a execução de impressões digitais da sessão.
Local do logO local no qual as alterações de impressões digitais dos usuários serão registradas. Saiba mais sobre logs do sistema
Valor da impressão digital

Escolha quais valores serão incluídos na impressão digital da sessão: Endereço IP, agente de usuário ou ambos. Para minimizar vários avisos de logon, recomenda-se usar apenas o endereço IP, uma vez que as alterações no endereço IP devem ser menos frequentes do que as alterações feitas no agente do usuário.

  • Endereço IP: O endereço IP é o endereço do computador do usuário. Geralmente ele não mudará durante uma sessão. No entanto, há casos em que isso pode ocorrer, por exemplo, ao usar determinados provedores de serviços de internet.
  • Agente do usuário: O agente do usuário indica o navegador, sistema operacional e outros detalhes menores de software do navegador específico que o usuário está usando para acessar o site. Esse valor é gerado pelo navegador e pode não ser preciso. Por exemplo, no Safari, a versão do sistema operacional nunca muda. Os usuários geralmente podem substituí-la por extensões do navegador.
Filtrar endereços IPEssa opção foi adicionada com um conjunto de regras padrão para resolver problemas com o AOL, um provedor de serviço de internet dos EUA. Embora esse recurso ainda funcione para essa finalidade exclusiva, ele não deve ser usado em nenhuma outra capacidade, porque não há painel de controle para editar o conjunto de regras.
Criar nova sessão quando a impressão digital mudar

Selecione Sim para forçar uma nova sessão a ser criada quando a impressão digital de um usuário mudar. Em tentativas válidas de sequestro, essa opção faz o invasor ver a página de logon ao mesmo tempo que o usuário mantém a sessão atual. Porém, se ocorrerem falsos positivos (conforme mencionado acima, na seção Valor da impressão digital), o usuário deverá fazer logon novamente. É uma questão entre segurança e conveniência.

Um prompt de logon será exibido quando o applet de vários arquivos for carregado quando você definir “Criar nova sessão quando a impressão digital mudar” para Sim.