Show Menu
ARGOMENTI×

Sicurezza

Application Security inizia durante la fase di sviluppo. Adobe consiglia di applicare le procedure ottimali di protezione seguenti.

Usa sessione richiesta

In base al principio dei privilegi minimi, Adobe consiglia di utilizzare la sessione associata alla richiesta dell'utente e al controllo di accesso adeguato per ogni accesso al repository.

Protezione contro gli script tra siti (XSS)

Lo scripting tra siti (XSS) consente agli aggressori di inserire codice nelle pagine Web visualizzate da altri utenti. Questa vulnerabilità di sicurezza può essere sfruttata da utenti Web malintenzionati per aggirare i controlli di accesso.
AEM applica il principio di filtrare tutti i contenuti forniti dall’utente al momento dell’output. La prevenzione di XSS viene data la massima priorità sia durante lo sviluppo che durante i test.
Il meccanismo di protezione XSS fornito da AEM si basa sulla libreria Java AntiSamy fornita da OWASP (Open Web Application Security Project) . La configurazione predefinita di AntiSamy si trova in
/libs/cq/xssprotection/config.xml
È importante adattare questa configurazione alle proprie esigenze di sicurezza sovrapponendo il file di configurazione. La documentazione ufficiale AntiSamy ti fornirà tutte le informazioni necessarie per implementare i tuoi requisiti di sicurezza.
È consigliabile accedere sempre all'API di protezione XSS utilizzando XSSAPI fornito da AEM .
Inoltre, un firewall per applicazioni Web, come mod_security per Apache , può fornire un controllo centrale affidabile sulla sicurezza dell'ambiente di distribuzione e proteggere contro attacchi di script tra siti non rilevati in precedenza.

Accesso alle informazioni sui servizi cloud

Gli ACL per le informazioni sul servizio cloud e le impostazioni OSGi necessarie per proteggere l'istanza sono automatizzati nell'ambito della modalità Esecuzione di AEM in modalità pronta per la produzione Production Ready. Anche se questo significa che non è necessario apportare manualmente le modifiche alla configurazione, è comunque consigliabile rivederle prima di iniziare a utilizzare la distribuzione.
Quando integrate l'istanza AEM con Adobe Marketing Cloud utilizzate le configurazioni dei servizi Cloud. Le informazioni su queste configurazioni, insieme alle eventuali statistiche raccolte, sono memorizzate nella directory archivio. Se utilizzate questa funzionalità, è consigliabile verificare se la protezione predefinita di queste informazioni corrisponde ai requisiti.
Il modulo di supporto del servizio Web scrive le statistiche e le informazioni di configurazione in:
/etc/cloudservices
Con le autorizzazioni predefinite:
  • Ambiente di authoring: read for contributors
  • Ambiente di pubblicazione: read for everyone

Protezione da attacchi di contraffazione di richieste intersito

Per ulteriori informazioni sui meccanismi di sicurezza utilizzati da AEM per attenuare gli attacchi CSRF, consulta la sezione Filtro Sling Referrer nella lista di controllo della sicurezza e la documentazione sul quadro di protezione Quadro di protezione CSRF CSRF.