Quels sont les problèmes potentiels avec les clients permettant d'avoir CNAME / DNS support masquants dans une application web?

Question

Notre société développe une application web que d'autres entreprises peuvent octroyer une licence. En règle générale, notre application fonctionne sur:

www.company.example

Et la version de l'application d'un client est exécuté sur:

client.company.example

En général, un client exécute leur propre site:

www.client.example

Parfois, demande des clients d'avoir leur version de l'application disponible à partir de:

application.client.example

Ce type de configuration est souvent vu avec les blogs (Wordpress, Blogger, Kickapps).

Techniquement, la réalisation de cet « Masking DNS » avec un CNAME / un enregistrement et une configuration de l'application est simple. J'ai pensé quelques problèmes potentiels liés à cela, cependant, et je me demande si vous pouvez penser à tous les autres que j'ai manqué:

1) Statistiques de trafic (tel que mesuré par des fournisseurs externes, par exemple, compete.com) sera plus faible puisque le trafic de company.example ne comprend pas celui de application.client.example. (Statistiques locales ne seraient pas affectées, bien sûr)

2) Divulgation des cookies potentiel de application.client.example à company.example. Si le client est la définition de cookies à .client.example, ces cookies peuvent être lus par le serveur company.example.

3) E-mail spoofing. E-mail peut être envoyé de company.example avec le application.client.example de domaine, ce qui peut-être des problèmes avec listes noires de spam en raison de dossiers incompatibles SPF.

Merci pour toutes les réflexions sur ce sujet.

Answer 1

CNAME a été largement utilisé depuis si longtemps, en particulier par les entreprises d'hébergement. Il n'y a pas de problème majeur.

Le plus gros problème pour nous est quand vous devez utiliser HTTPS. Il est très difficile de soutenir plusieurs CNAMEs sur le même serveur. Nous utilisons des alias dans le certificat (extension SAN). Nous devons obtenir un nouveau cert chaque fois qu'un nouveau CNAME est ajouté dans le DNS. A part cela, tout fonctionne très bien pour nous.

En ce qui concerne les questions que vous avez mentionné,

1. Cela devrait être un avantage. Il est beaucoup plus facile de combiner les statistiques que pour les séparer. Donc, nous préférons les rapports granulaires.
2. Les cookies ne sont pas partagés entre les domaines, même si elles sont sur la même adresse IP. Tant que les applications sont correctement sandbox sur le serveur, ils ne peuvent pas lire le cookie de l'autre.
3. Vous devez limiter la vitesse de votre propre trafic SMTP sortant à l'extrémité du serveur afin que vous ne soyez pas mis à l'index.