Veilige communicatie

TLS (Transport Layer Security) is een protocol voor het beveiligen van internetcommunicatie. TLS zorgt ervoor dat overgebrachte gegevens niet kunnen worden gelezen of gewijzigd door een andere entiteit. Blackboard Learn gebruikt TLS om de communicatie tussen de webserver en de client te beveiligen, zoals een browser.

Sessiebeheer

Levenscyclus van sessie-ID

Elke sessie in Blackboard Learn wordt beveiligd met een cryptografisch veilige sessie-ID, die wordt opgeslagen in een browsercookie. Om het systeem te beschermen tegen sessiefixatie-aanvallen, wordt de sessie-ID regelmatig geroteerd, namelijk bij het laden van de pagina, na aanmelding en na afmelding.

Cookies

We stellen standaard twee eenvoudige cookievlaggen in als extra maatregel tegen sessie-hijacking. We doen dit voor de volgende cookies voor sessiebeheer: HttpOnly en Secure.

De cookies session_id en s_session_id worden gebruikt voor sessiebeheer. Voor deze cookies wordt de vlag HttpOnly ingesteld. De vlag HttpOnly biedt uitsluitend een extra beveiligingslaag om onbevoegde toegang door potentieel schadelijke scripts op de client te voorkomen. Wanneer TLS in het hele systeem is ingeschakeld, en de cookie session_id nog steeds aanwezig is, wordt alleen de cookie s_session_id gebruikt voor sessiebeheer. De cookie s_session_id heeft de toegevoegde bescherming van de vlag Secure. De cookie JSESSIONID is niet gerelateerd aan sessiebeheer en voor deze cookie wordt noch de vlag HttpOnly noch Secure ingesteld.

Sessieverloop

Sessies verlopen automatisch als een gebruiker gedurende een bepaalde tijd niet actief is. Sessies kunnen ook handmatig verlopen via een expliciete afmelding.

Vingerafdrukken van sessies

Sessievingerafdrukken kunnen helpen bij het ontdekken of de sessie van een gebruiker is gekaapt door een vijandelijke bezoeker. Een vingerafdruk helpt bij de eenduidige identificatie van gebruikers, bijvoorbeeld door middel van het IP-adres van hun computer of het type browser (gebruikersagent) dat ze gebruiken. Het werken met sessievingerafdrukken is een extra veiligheidsmaatregel om het risico van het overnemen van een sessie door een kwaadwillende persoon te beperken.

Blackboard adviseert altijd om deze functie in te schakelen. Hiervoor is het noodzakelijk om zowel Sessievingerafdruk inschakelen als Een nieuwe sessie maken als de vingerafdruk verandert te selecteren.

Sessievingerafdruk configureren

Open het configuratiescherm voor systeembeheer en selecteer onder Beveiliging de optie Instellingen sessievingerafdruk. In de volgende tabel worden de beschikbare velden beschreven.

Veld Beschrijving
Sessievingerafdruk inschakelen Selecteer Ja om Sessievingerafdruk in te schakelen.
Locatie logboek De locatie waar wijzigingen van de vingerafdrukken van gebruikers worden opgeslagen. Om de inhoud van het logboek te bekijken, ga je in het configuratiescherm voor systeembeheer naar Tools en functies en selecteer je Logboeken.
Waarde vingerafdruk Geef aan welke waarden u wilt opnemen in de sessievingerafdruk IP-adres, Gebruikersagent of beide.Om het aantal aanmeldingspogingen te beperken, wordt het aanbevolen om het IP-adres maar één keer te gebruiken, aangezien het IP-adres minder vaak moet worden gewijzigd dan de gebruikersagent.
  • IP-adres: het IP-adres is het adres van de computer van de gebruiker. Meestal verandert dit adres niet tijdens een sessie. Er zijn echter situaties waarin dit kan gebeuren, bijvoorbeeld bij gebruik van bepaalde internetproviders.
  • Gebruikersagent: de gebruikersagent geeft de browser aan waarmee de gebruiker de site raadpleegt. Op moderne websites is het mogelijk dat de gebruikersagent regelmatig verandert vanwege mediaplayers en andere plugins voor browsers die taken krijgen gedelegeerd vanuit de sessie van de gebruiker.
Filter IP-adressen Als u in het veld Waarde vingerafdruk de optie IP-adres of IP-adres en gebruikersagent hebt gekozen, selecteert u Ja om een bereik van IP-adressen op te geven die niet moeten worden gebruikt voor de sessievingerafdrukken. Dit is handig voor het uitsluiten van vertrouwde IP-adresbereiken. Je kunt de IP-bereiken aanpassen door het configuratiebestand bb-session-fingerprint-excluded-addresses.txt te wijzigen.
Een nieuwe sessie maken als de vingerafdruk verandert

Selecteer Ja om het maken van een nieuwe sessie af te dwingen als de vingerafdruk van een gebruiker verandert. Bij geslaagde hack-pogingen ziet de hacker alleen de aanmeldingspagina, terwijl de gebruiker verder kan gaan met zijn sessie. Als er echter onjuiste waarschuwingen worden gegenereerd (zie hierboven in de sectie Waarde vingerafdruk), moet de gebruiker zich opnieuw aanmelden. Dit is een compromis tussen veiligheid en gebruiksgemak.

Er verschijnt een aanmeldingsprompt wanneer de applet met meerdere pagina's wordt geladen en Een nieuwe sessie maken als de vingerafdruk verandert is ingesteld op Ja.