Quais são os potenciais problemas com permitindo que os clientes têm suporte CNAME / DNS Masking em uma aplicação web?
-
16-09-2019 - |
Pergunta
Nossa empresa desenvolve uma aplicação web que outras empresas podem licenciar. Normalmente, nossas aplicativo é executado em:
www.company.example
E a versão de um cliente do aplicativo é executado em:
client.company.example
Normalmente, um cliente executa o seu próprio site em:
www.client.example
Às vezes, os clientes pedir para ter sua versão do aplicativo disponível em:
application.client.example
Este tipo de configuração é muitas vezes visto com blogs (Wordpress, Blogger, KickApps).
Tecnicamente, a realização deste "DNS Masking" com um CNAME / A Record e alguma configuração aplicação é simples. Eu tenho pensado alguns potenciais problemas relacionados com esta, no entanto, e me pergunto se você pode pensar em quaisquer outros que eu perdi:
1) <> fortes estatísticas de tráfego (como medido por fornecedores externos, por exemplo, compete.com) será menor uma vez que o tráfego para company.example não irá incluir a de application.client.example. (Estatísticas locais não seriam afetados, é claro)
2) Potencial divulgação de cookie a partir application.client.example para company.example. Se o cliente está definindo os cookies a .client.example, esses cookies pode ser lido pelo servidor company.example.
3) Enviar por e falsificação. E-mail pode ser enviado a partir company.example com o application.client.example domínio, possivelmente causando problemas com o spam na lista negra devido a registos SPF incompatíveis.
Obrigado por alguma opinião sobre isso.
Solução
CNAME tem sido amplamente utilizada por muito tempo, especialmente por empresas de hospedagem. Não há grandes problemas.
O maior problema para nós é quando você tem que usar HTTPS. É muito difícil de suportar múltiplos CNAMEs no mesmo servidor. Usamos aliases no certificado (extensão SAN). Temos de obter um novo certificado cada vez que um novo CNAME é adicionado no DNS. Fora isso, tudo funciona muito bem para nós.
Como para as questões que você mencionou,
- Esta deve ser uma vantagem. É muito mais fácil de combinar as estatísticas do que para separá-los. Então nós preferimos relatórios detalhados.
- Os cookies não são compartilhados entre domínios, mesmo se eles estão no mesmo IP. Enquanto aplicativos são adequadamente no modo seguro no servidor, eles não podem ler cookie do outro.
- Você deve avaliar-limitar o seu próprio tráfego de saída SMTP na extremidade do servidor para que você não ficar na lista negra.