Sicherheit security
Anwendungssicherheit beginnt bereits in der Entwicklungsphase. Adobe empfiehlt, die folgenden Best Practices für die Sicherheit umzusetzen.
Verwenden von Anfragesitzungen use-request-session
Gemäß dem Prinzip der geringsten Rechte empfiehlt Adobe, dass jeder Zugriff auf das Repository über die an die Benutzeranfrage gebundene Sitzung und eine angemessene Zugriffskontrolle erfolgt.
Schützen vor Cross-Site-Scripting (XSS) protect-against-cross-site-scripting-xss
Mit Cross-Site-Scripting (XSS) können Angreifer Code in Web-Seiten einfügen, die von anderen Benutzenden aufgerufen werden. Diese Sicherheitslücke kann von böswilligen Web-Benutzenden ausgenutzt werden, um die Zugriffssteuerung zu umgehen.
AEM filtert prinzipiell sämtliche vom Benutzer bereitgestellten Inhalte bei der Ausgabe. Bei Entwicklung und Tests hat das Vermeiden von XSS höchste Priorität.
Der XSS-Schutzmechanismus, der von AEM bereitgestellt wird, basiert auf der AntiSamy Java™ Library von OWASP (Open Web Application Security Project). Die standardmäßige AntiSamy-Konfiguration finden Sie unter
/libs/cq/xssprotection/config.xml
Es ist wichtig, dass Sie diese Konfiguration an Ihre eigenen Sicherheitsanforderungen anpassen, indem Sie die Konfigurationsdatei überlagern. Die offizielle AntiSamy-Dokumentation bietet alle notwendigen Informationen, um Ihre Sicherheitsanforderungen zu implementieren.
Auch kann eine Firewall in der Web-Anwendung wie mod_security für Apache die Sicherheit der Bereitstellungsumgebung zuverlässig und zentral steuern und diese vor bisher unerkannten Cross-Site-Scripting-Angriffen schützen.
Zugreifen auf Cloud-Service-Informationen access-to-cloud-service-information
Wenn Sie Ihre AEM-Instanz mit Adobe Experience Cloud integrieren, verwenden Sie Cloud-Service-Konfigurationen. Informationen zu diesen Konfigurationen sowie alle erfassten Statistiken werden im Repository gespeichert. Wenn Sie diese Funktionalität verwenden, empfiehlt Adobe, dass Sie überprüfen, ob die Standardsicherheit dieser Informationen Ihren Anforderungen entspricht.
Das webservicesupport-Modul schreibt Statistiken und Konfigurationsinformationen unter:
/etc/cloudservices
Mit den Standardberechtigungen:
-
Autorenumgebung:
read
fürcontributors
-
Veröffentlichungsumgebung:
read
füreveryone
Schützen Sie sich vor Cross-Site Request Forgery-Angriffen protect-against-cross-site-request-forgery-attacks
Weitere Informationen zu den Sicherheitsmechanismen, die AEM zur Abschwächung von CSRF-Angriffen einsetzt, finden Sie im Abschnitt Sling Referrer Filter der Sicherheits-Checkliste und in der Dokumentation zum CSRF Protection Framework.