Show Menu
SUJETS×

Sécurité

La sécurité des applications débute lors de la phase de développement. Adobe recommande d’appliquer les méthodes de sécurité suivantes.

Utilisation de la session de requête

Conformément au principe des privilèges d’accès allégés, Adobe recommande que chaque accès au référentiel soit effectué en utilisant la session liée à la demande de l’utilisateur et en contrôlant correctement l’accès.

Protection contre les scripts de site à site (XSS)

Les scripts de site à site (XSS) permettent aux pirates d’injecter du code dans des pages web consultées par d’autres utilisateurs. Cette faille de sécurité peut être exploitée par des internautes malveillants pour contourner les contrôles d’accès.
AEM applique le principe de filtrage de l’ensemble du contenu fourni par l’utilisateur lors de la sortie. La prévention du script intersite (XSS) se voit accorder la priorité la plus élevée lors des phases de développement et de test.
Le mécanisme de protection XSS proposé par AEM est basé sur la Bibliothèque Java AntiSamy fournie par OWASP (The Open Web Application Security Project) . La configuration par défaut d’AntiSamy se trouve à l’adresse
/libs/cq/xssprotection/config.xml
Il est important que vous adaptiez cette configuration à vos propres besoins de sécurité en superposant le fichier de configuration. Vous trouverez, dans la documentation officielle d’AntiSamy , toutes les informations nécessaires pour satisfaire vos exigences en matière de sécurité.
Il est vivement conseillé de toujours accéder à l’API de protection XSS en utilisant l’interface XSSAPI fournie par AEM .
Additionally, a web application firewall, such as mod_security for Apache , can provide reliable, central control over the security of the deployment environment and protect against previously undetected cross-site scripting attacks.

Accès aux informations de service cloud

Les listes de contrôles d’accès (ACL) relatives aux informations de service cloud, ainsi que les paramètres OSGi requis pour sécuriser votre instance sont automatisés dans le cadre du mode Prêt pour la production . Cela signifie que vous ne devez pas apporter de modifications manuelles à la configuration. Cependant, il est conseillé de les passer en revue avant le déploiement proprement dit.
Lorsque vous intégrez votre instance AEM dans Adobe Marketing Cloud , vous utilisez des configurations de service cloud . Les informations relatives à ces configurations, ainsi que les éventuelles statistiques collectées, sont stockées dans le référentiel. Si vous utilisez cette fonctionnalité, il est recommandé de vérifier si le niveau de sécurité par défaut relatif à ces informations répond à vos besoins.
Le module webservicesupport enregistre des statistiques et des informations de configuration sous :
/etc/cloudservices
Avec les autorisations par défaut :
  • Environnement d’auteur : read for contributors
  • Environnement de publication : read for everyone

Protection contre les attaques par falsification de requête intersite

Pour plus d’informations sur les mécanismes de sécurité mis en œuvre par AEM pour limiter l’impact des attaques CSRF, reportez-vous à la section Sling Referrer Filter de la liste de contrôle de sécurité et à la documentation de l’infrastructure de protection CSRF .