安全通信
传输层安全性 (TLS) 是一种用于保护 Internet 通信的协议。TLS 可确保通信不被其他实体读取或更改。Blackboard Learn 使用 TLS 保护 Web 服务器与客户机之间通信的安全。
会话管理
会话 ID 生命周期
Blackboard Learn 中的每个会话都受加密安全会话标识符(存储在浏览器 cookie 中)的保护。为了帮助防止会话固定攻击,会话标识符会在页面加载、成功登录后和注销后进行轮换。
Cookie
默认情况下,我们设置以下两个简单的 cookie 标志作为增加的措施,以避免对会话管理相关 cookie 的会话劫持:HttpOnly 和安全。
session_id 和 s_session_id cookie 用于会话管理。这些 cookie 设置了 HttpOnly 标记。HttpOnly 标记通过潜在的恶意客户端脚本提供一层额外的保护来防止未经授权的访问。在系统范围内启用 TLS 时,虽然 session_id cookie 仍存在,但仅 s_session_id cookie 用于会话管理。s_session_id 增强了对安全标记的保护。JSESSIONID cookie 与会话管理无关,并且未设置 HttpOnly 和安全标记。
会话到期
在用户空闲时间超过预先配置的持续时间之后,会话将自动到期。也可以通过显式注销手动使会话到期。
会话指纹识别
当用户的会话是否已被恶意攻击者入侵时,会话指纹可以帮助检测。例如,指纹通过使用用户计算机的 IP 地址或用户使用的浏览器(用户代理)类型帮助专门识别用户。会话指纹是降低恶意攻击者入侵会话风险的控制方法。
Blackboard 强烈建议启用此控件。要正确启用此控件,您必须同时选择启用会话指纹和当指纹更改时创建新会话。
配置会话指纹识别
在“管理员面板”上的安全下,选择会话指纹设置。下表介绍了可用的字段。
| 现场 | 说明 |
|---|---|
| 启用会话指纹识别功能 | Select Yes to enable session fingerprinting. |
| 日志位置 | 将对用户指纹的更改记录到其中的位置。要查看日志内容,在“管理员面板”上的工具和实用工具下,选择日志。 |
| 指纹值 | 选择哪些值要包含在会话指纹中:IP 地址和/或用户代理。 为了尽可能减少多个登录提示,建议仅使用 IP 地址,因为更改 IP 地址的频率应低于对用户代理的更改。
|
| 筛选 IP 地址 | 如果您在“指纹值”字段中选择“IP 地址”或“IP 地址和用户代理”,选择“是”以便排除要包括在会话指纹中的 IP 地址的范围。这对于排除受信任的 IP 范围非常有用。通过修改 bb-session-fingerprint-excluded-addresses.txt 配置文件来定制 IP 范围。 |
| 指纹更改时创建新会话 |
选择“是”在用户的指纹更改时强制创建新会话。对于有效的入侵尝试,这样做可使入侵者看到登录页面的同时,用户保持其当前的会话。但是,如果发生任何误报(如在以上“指纹值”部分中所提及的那样),则用户将必须再次登录。这是在安全与方便之间的折衷方式。 如果将“在指纹更改时创建新会话”设置为“是”,则会在加载多个文件小程序时显示登录提示。 |
