安全通信
传输层安全性 (TLS) 是一种用于保护 Internet 通信的协议。TLS 可确保通信不被其他实体读取或更改。Blackboard Learn 使用 TLS 保护 Web 服务器与客户机之间通信的安全。
会话管理
会话 ID 生命周期
Blackboard Learn 中的每个会话都受加密安全会话标识符(存储在浏览器 cookie 中)的保护。为了帮助防止会话固定攻击,会话标识符会在页面加载、成功登录后和注销后进行轮换。
Cookie
默认情况下,我们设置以下两个简单的 cookie 标记作为增加的措施,以避免对会话管理相关 cookie 的会话劫持:HttpOnly 和安全。
BbRouter 是唯一用于会话管理的 Cookie。它设置了 HttpOnly 标记,该标记提供一层额外的保护来防止通过潜在的恶意客户端脚本进行未经授权的访问。一直以来,Learn 都要求在全系统范围内启用 TLS。为谨慎起见,Learn 将设置安全标记以防止浏览器通过没有 TLS 的 HTTP(“SSL”)发送 cookie。
JSESSIONID cookie 与会话管理无关,并且未设置 HttpOnly和安全标记。
在 SaaS 中,存在两个没有安全和 HttpOnly 标记的附加 Cookie:AWSELB 和 AWSELBCORS。不过,Learn 在很大程度上是无状态的,但也存在少量会话亲和性,这些会话亲和性是在负载平衡器上使用这些 cookie 实现的。您可以从 AWS 文章 Configure sticky sessions for your Classic Load Balancer 中了解有关这些 cookie 的更多信息。
会话到期
在用户空闲时间超过预先配置的持续时间之后,会话将自动到期。也可以通过显式注销手动使会话到期。
会话指纹识别
当用户的会话是否已被恶意攻击者入侵时,会话指纹可以帮助检测。例如,指纹通过使用用户计算机的 IP 地址或用户使用的浏览器(用户代理)类型帮助专门识别用户。会话指纹是降低恶意攻击者入侵会话风险的控制方法。
Blackboard 强烈建议启用此控件。要正确启用此控件,您必须同时选择启用会话指纹和当指纹更改时创建新会话。
配置会话指纹识别
在管理员面板上的安全下,选择会话指纹设置。下表介绍了可用的字段。
字段 | 描述 |
---|---|
启用会话指纹识别功能 | 选择是可启用会话指纹识别功能。 |
日志位置 | 将记录对用户指纹所做的更改的位置。了解有关系统日志的更多信息。 |
指纹值 | 选择哪些值要包含在会话指纹中:IP 地址、用户代理或二者兼而有之。为了尽可能减少多个登录提示,建议仅使用 IP 地址,因为更改 IP 地址的频率应低于对用户代理的更改频率。
|
筛选 IP 地址 | 此选项添加了默认规则集,可解决美国互联网服务提供商 AOL 的问题。虽然此功能仍然适用于该独特目的,但不应将其用于任何其他功能,因为没有控制面板来编辑规则集。 |
指纹更改时创建新会话 | 选择是在用户的指纹更改时强制创建新会话。对于有效的入侵尝试,这样做可使入侵者看到登录页面的同时,用户保持其当前的会话。但是,如果发生任何误报(如在以上“指纹值”部分中所提及的那样),则用户将必须再次登录。这是在安全与方便之间的折衷方式。 如果将“在指纹更改时创建新会话”设置为“是”,则在进行多个文件小程序加载时会显示登录提示。 |