Domínio alternativo

Renderizar arquivos carregados pelo usuário de um domínio alternativo é um controle de segurança de defesa em profundidade. Ao carregar uma parte do conteúdo que contém scripts potencialmente mal-intencionados, um usuário pode executar o sequestro de sessão na sessão Blackboard Learn uma vez que um usuário-alvo acessar o conteúdo afetado.

Como método de proteção contra esse tipo de atividade, os usuários agora podem acessar arquivos carregados pelo usuário e adicionar HTML personalizado por meio de um domínio alternativo. Este controle de segurança potencializa os recursos de segurança do navegador, ou seja, a “política de mesma origem”. Como resultado, os scripts maliciosos nos arquivos carregados pelo usuário que são processados em um domínio ou subdomínio são separados dos cookies e, portanto, das informações da sessão primária do Blackboard Learn.

Este controle de segurança é outra camada defensiva na estrutura de segurança da Blackboard para proteger ainda mais os usuários de arquivos potencialmente maliciosos carregados por usuários.

A Blackboard recomenda que os administradores configurem este controle de segurança em todas as suas implementações do Blackboard Learn. Esta é uma prática recomendada de segurança da Blackboard.

Domínio separado para renderização de conteúdo

Um domínio ou subdomínio separado fornece uma maneira mais segura de acessar arquivos carregados pelo usuário a partir de um servidor do Blackboard Learn. Este domínio separado ajuda a evitar que conteúdos carregados pelo usuário contendo scripts maliciosos sejam usados para comprometer a sessão do Blackboard Learn de um usuário e, portanto, os dados do usuário. Com um domínio ou subdomínio separado configurado, todo o conteúdo é entregue do domínio original para o domínio separado, basicamente encaminhando o conteúdo para o domínio separado. Para o usuário, esse processo é totalmente imperceptível.

No caso de um arquivo carregado pelo usuário conter scripts maliciosos para executar o sequestro de sessão, os controles de segurança do navegador, ou seja, a “política de mesma origem”, ajudam a evitar que a sessão de renderização de arquivo do usuário acesse a sessão primária do usuário. A sessão primária do usuário é usada para atividades como fazer avaliações, ver notas e assim por diante. Assim, o ataque seria compartimentado e o impacto limitado. Embora os invasores possam obter acesso a conteúdos que normalmente não tinham, eles não obterão acesso à sessão primária da vítima ou a todo o site.

Notas especiais

O servidor do Blackboard Learn localizado no nome de host alternativo só responderá a solicitações webdav.

Qualquer instalação do Blackboard Learn respondendo a uma solicitação no nome de host alternativo não pode ser usada para executar funções normais do Blackboard Learn. Como resultado, marcas e outros nomes de host de arquivo alternativo semelhantes não podem usar o mesmo nome de host do domínio do arquivo.

Consulte a seção Gerenciamento de configuração de nome de host das notas de lançamento para examinar o nome de host. 

As informações do domínio alternativo são pré-configuradas quando você ativa o domínio alternativo. Recomendamos não alterar esses valores pré-configurados, pois a Blackboard só oferece suporte a um domínio alternativo. Se você quiser alterar os valores pré-configurados, é possível escolher usar:

  • blackboard.com
  • o domínio do seu site se você usar um URL intuitivo

Ativar um domínio alternativo para fornecimento de conteúdo

Ao configurar um domínio separado, não use nomes de host que você configurou para marcas. Se você fizer isso, suas marcas não funcionarão corretamente.

  1. Navegue até Painel de administração > Segurança > Domínio alternativo para fornecimento de conteúdo.
  2. Selecione a caixa para ativar Domínio alternativo para fornecimento de conteúdo.
  3. As informações são preenchidas com conteúdo pré-configurado.

    Recomendamos não alterar esses valores pré-configurados, pois a Blackboard só oferece suporte a um domínio alternativo. Se você quiser alterar os valores pré-configurados, pode escolher usar blackboard.com ou o domínio do seu site se usar um URL intuitivo.

  4. Selecione Enviar.

Se a criação de HTML falhar ao carregar após configurar o domínio alternativo, entre em contato com o suporte para garantir que os domínios do seu ambiente estejam instalados e configurados corretamente. Analise suas configurações de nome de host em Painel do administrador > Segurança > Configuração do nome de host

Desativar domínio alternativo para fornecimento de conteúdo

  1. Navegue até Painel de administração > Segurança > Domínio alternativo para fornecimento de conteúdo.
  2. Selecione a caixa para desativar Domínio alternativo para fornecimento de conteúdo.
  3. Selecione Enviar.