Domännamn och säkerhet
Ni ställer in visningsregler, som styr var chatten kan läggas in och när den ska visas, i inställningarna för chattflödet.
Här ger vi information och råd om vad ni ska tänka på när ni väljer tillåtna adresser, vilket framförallt är viktigt om ni hanterar känslig information i chatten.
Allmänt om origins och domäner
Säkerhet på webben är på många sätt knutet till en viss origin. En origin är kombinationen av protokoll (http eller https), domännamn och port (porten är ett nummer som ibland visas efter domännamnet i adressen).
Om man besöker https://kundo.se så är det en annan säkerhetskontext än https://kundo.fi, så inloggningar och datalagring är i regel separerade mellan dessa. Även http://kundo.se och https://kundo.se är olika origins eftersom bara den ena är säkrad med kryptering.
Tillåtna origins för Chatt
Chatt kan användas över flera domäner och origins, genom att vi delar användarens accessdata över alla de origins som ni tillåtit. På så sätt kan användaren ta med sig en pågående chatt även om ni använder flera olika domäner eller origins.
Du ställer in vilka sidor chatten kan användas på i respektive flödes inställningar om regler för visning.
Använd pålitliga domäner
Ni ska bara lägga till visningsregler för sidor som ni har tillräckligt tillit till i förhållande till hur känslig chatten är. Script som körs på någon av era tillåtna origins kan läsa användarens token, som används för att delta i eller läsa chatten. Ni bör alltså bara tillåta origins där ni har kontroll över eller litar på de script som kan köras.
För bästa säkerhet är det också viktigt att bara lägga in chatten på https-origins. Oavsett om den läggs in på en krypterad sida eller ej så kommer all kommunikation i Chatt att vara krypterad, men sidor som levereras över http är känsliga för scriptinjicering vilket kan leda till läckage av användarens token och chattdata.
Origins delas mellan flöden
Kontrollen av tillåtna origins sker mot alla chattflöden ni har hos Kundo. Om visningsreglerna för ett flöde tillåter en viss origin hos er så kan script på den originen läsa användarens access-token även för era andra chattflöden.
Visningsreglerna styr över var chatten kan startas, inte var den kan köras efter att den startat. En pågående chat kommer med till alla andra sidor där ni inkluderat Chatt och det är på någon av era tillåtna origins.