Comunicação segura
Transport Layer Security (TLS) é um protocolo para proteger as comunicações da internet. A TLS garante que uma comunicação não seja lida ou alterada por outra entidade. O Blackboard Learn usa a TLS para proteger as comunicações entre o servidor da web e a máquina do cliente.
Gerenciamento de sessão
Ciclo de vida do código da sessão
Cada sessão do Blackboard Learn é protegida por um identificador de sessão criptograficamente seguro, armazenado em um cookie do navegador. Para ajudar a proteger contra ataques de fixação de sessão, o identificador da sessão é girado no carregamento da página, após o logon bem-sucedido e após o logoff.
Cookies
Nós definimos, por padrão, dois sinalizadores de cookie simples como uma medida adicional contra o sequestro de sessão nos cookies relacionados ao gerenciamento da sessão: HttpOnly e Seguro.
Os cookies session_id e s_session_id são usados para o gerenciamento de sessão. Esses cookies têm o sinalizador HttpOnly definido. O sinalizador HttpOnly fornece uma camada adicional de proteção contra acesso não autorizado por scripts potencialmente mal-intencionados por parte do cliente. Quando a TLS é ativada em todo o sistema, embora o cookie session_id ainda esteja presente, somente o cookie s_session_id será usado para o gerenciamento de sessão. O s_session_id tem a proteção adicional do sinalizador Seguro. O cookie JSESSIONID não está relacionado ao gerenciamento de sessão e não tem HttpOnly nem o sinalizador Seguro definidos.
Expiração da sessão
As sessões expiram automaticamente após um usuário ficar inativo além de uma duração pré-configurada. As sessões também podem expirar manualmente por meio de um logoff explícito.
Impressão digital da sessão
A impressão digital da sessão pode ajudar a detectar quando a sessão de um usuário for sequestrada por algum invasor mal-intencionado. A impressão digital ajuda a identificar usuários de maneira exclusiva, por exemplo, usando o endereço IP do computador ou o tipo de navegador (Agente do usuário) utilizado. A impressão digital da sessão é um controle atenuante para reduzir o risco de invasão de sessão por um invasor mal-intencionado.
A Blackboard recomenda habilitar esse controle. Para habilitar corretamente esse controle, você deve selecionar Habilitar execução de impressões digitais da sessão e Criar nova sessão quando a impressão digital mudar.
Configurar execução de impressões digitais da sessão
No Painel do administrador, em Segurança, selecione Configurações de impressão digital de sessão. A tabela a seguir descreve os campos disponíveis.
Campo | Descrição |
---|---|
Habilitar execução de impressões digitais da sessão | Selecione Sim para habilitar a execução de impressões digitais da sessão. |
Local do log | O local no qual as alterações de impressões digitais dos usuários serão registradas. Para visualizar o conteúdo do log, no Painel do administrador, em Ferramentas e utilitários, selecione Logs. |
Valor da impressão digital | Escolha quais valores serão incluídos na impressão digital da sessão: Endereço IP, agente do usuário ou ambos. Para minimizar vários avisos de logon, recomenda-se usar apenas o endereço IP, uma vez que as alterações no endereço IP devem ser menos frequentes do que as alterações feitas no agente do usuário.
|
Filtrar endereços IP | Se você selecionar o endereço IP ou o Endereço IP e agente do usuário no campo Valor da impressão digital, selecione Sim para excluir os intervalos de endereços IP da inclusão nas impressões digitais da sessão. Isso é útil para excluir intervalos IP confiáveis. Personalize os intervalos IP modificando o arquivo de configuração bb-session-fingerprint-excluded-addresses.txt. |
Criar nova sessão quando a impressão digital mudar |
Selecione Sim para forçar uma nova sessão a ser criada quando a impressão digital de um usuário mudar. Em tentativas válidas de sequestro, essa opção faz o invasor ver a página de logon ao mesmo tempo que o usuário mantém a sessão atual. Porém, se ocorrerem falsos positivos (conforme mencionado acima, na seção Valor da impressão digital), o usuário deverá fazer logon novamente. É uma questão entre segurança e conveniência. Um prompt de logon será exibido quando o applet de vários arquivos for carregado quando você definir “Criar nova sessão quando a impressão digital mudar” para Sim. |