Sicurezza security

La sicurezza dell’applicazione viene avviata durante la fase di sviluppo. L’Adobe consiglia di applicare le seguenti best practice per la sicurezza.

Usa sessione di richiesta use-request-session

In base al principio del privilegio minimo, l’Adobe consiglia di eseguire ogni accesso all’archivio utilizzando la sessione associata alla richiesta dell’utente e un controllo di accesso appropriato.

Protect contro il cross-site scripting (XSS) protect-against-cross-site-scripting-xss

Il cross-site scripting (XSS) consente agli aggressori di inserire codice nelle pagine web visualizzate da altri utenti. Questa vulnerabilità di sicurezza può essere sfruttata da utenti Web malintenzionati per aggirare i controlli di accesso.

L'AEM applica il principio di filtrare tutti i contenuti forniti dall'utente al momento dell'output. Prevenire l’XSS è data la massima priorità sia durante lo sviluppo che durante il test.

Il meccanismo di protezione XSS fornito dall’AEM si basa sulla Libreria Java™ AntiSamy fornito da OWASP (Progetto di protezione dell'applicazione Web aperta). La configurazione predefinita di AntiSamy è disponibile all'indirizzo

/libs/cq/xssprotection/config.xml

È importante adattare questa configurazione alle proprie esigenze di sicurezza sovrapponendo il file di configurazione. Il funzionario Documentazione di AntiSamy fornisce tutte le informazioni necessarie per implementare i requisiti di sicurezza.

NOTE
L’Adobe consiglia di accedere sempre all’API di protezione XSS utilizzando XSSAPI fornito dall’AEM.

Inoltre, un firewall per le applicazioni web, ad esempio mod_security per Apache, è in grado di fornire un controllo centrale e affidabile sulla sicurezza dell'ambiente di distribuzione e di proteggere da attacchi di cross-site scripting non rilevati in precedenza.

Accesso alle informazioni del Cloud Service access-to-cloud-service-information

NOTE
Le ACL per le informazioni di Cloud Service e le impostazioni OSGi necessarie per proteggere l’istanza vengono automatizzate come parte delle Modalità pronta per la produzione. Anche se questo significa che non è necessario modificare la configurazione manualmente, si consiglia comunque di rivederla prima di eseguire la distribuzione.

Quando integrare l’istanza AEM con Adobe Experience Cloud, utilizza Configurazioni Cloud Service. Le informazioni su queste configurazioni, insieme a eventuali statistiche raccolte, vengono memorizzate nell’archivio. L'Adobe consiglia, se si utilizza questa funzionalità, di verificare se la protezione predefinita di queste informazioni soddisfa i requisiti.

Il modulo webservicesupport scrive statistiche e informazioni di configurazione in:

/etc/cloudservices

Con le autorizzazioni predefinite:

  • Ambiente di authoring: read per contributors

  • Ambiente di pubblicazione: read per everyone

Protect contro gli attacchi di tipo Cross-Site Request Forgery protect-against-cross-site-request-forgery-attacks

Per ulteriori informazioni sui meccanismi di sicurezza utilizzati dall'AEM per mitigare gli attacchi CSRF, vedere Filtro referrer Sling nell'elenco di controllo della sicurezza e nella sezione Documentazione di CSRF Protection Framework.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2