AEM Sidekick-Sicherheit

Last update: Wed Feb 26 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Themen:

Auf dieser Seite werden Sicherheitsaspekte der Sidekick beschrieben, z. B. die erforderlichen Browser-Berechtigungen, Datenschutz- und Netzwerkanfragen, die während des Betriebs vorgenommen werden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Die Auflistungsseite im Google Chrome Web Store
Die Manifestdatei auf GitHub (Open Source)
Kontextmenü der Erweiterung

Browser-Berechtigungen

Die Sidekick benötigt die folgenden Browser-Berechtigungen, wie in ihrer Manifestdatei) definiert um erwartungsgemäß zu funktionieren:

Berechtigung

Blocksatz

activeTab

Erforderlich, um festzulegen, ob die Sidekick auf der aktuellen Registerkarte ein- oder ausgeblendet werden soll.

Kontextmenüs

Erforderlich, um das Hinzufügen und Entfernen von Projekten zu vereinfachen

DeclarativeNetRequests

Erforderlich zum Anhängen eines zuvor gespeicherten Zugriffstokens an Anfragen an die Admin-API

Skripterstellung

Erforderlich zum Laden der Sidekick in einer entsprechenden Browser-Registerkarte

Speicherung

Erforderlich, um Folgendes beizubehalten:

Statuseinstellungen (lokaler Speicher)
Projektkonfigurationen (geräteübergreifend synchronisiert)
Zugriffstoken (Sitzungsspeicher)

Host-Berechtigungen

Erforderliche Hosts:

[li> http://localhost:3000/*http://localhost:3000/*) [li>https://*/*https://*/*

Datenschutz

Die Sidekick erfasst Benutzeraktivitäten, die Adobe Folgendes ermöglichen:

Erfahren Sie, wie Benutzer mit der Benutzeroberfläche interagieren
Verbessern des Benutzererlebnisses in zukünftigen Versionen

Alle erfassten Daten sind:

Minimal: Namen der Aktionen, auf die Benutzer in der Benutzeroberfläche klicken und Ziel-URLs auswählen.
Sampled: Nur jede 10. Interaction Trigger-Datenerfassung.
Anonym: Es werden keine personenbezogenen Daten übertragen oder gespeichert.
Sicher: Daten werden über HTTPS übertragen und nur autorisierte Adobe-Mitarbeiter haben Zugriff auf gespeicherte Daten.

Adobe deklariert dass Benutzerdaten:

Nicht an Dritte verkauft
nicht für Zwecke verwendet oder übertragen werden, die nicht mit der Kernfunktion des Artikels zusammenhängen,
nicht zur Ermittlung der Kreditwürdigkeit oder für Kreditvergabezwecke verwendet oder übertragen werden

Netzwerkanfragen

Sidekick führt eine HTTPS-Anfrage an die folgenden Hosts aus:

https://admin.hlx.page/*

`[td>

https://rum.hlx.page/*

https://rum.hlx.page/*``[td>

https://.sharepoint.com/

https://.sharepoint.com/``[td>

https://--project--example.aem./*

https://--project--example.aem./*`

Netzanforderung

Blocksatz

Der Endpunkt der AEM Admin-API. Wird für Aktionen wie die Vorschau, Veröffentlichung und Anmeldung verwendet. Anfragen können vom Service Worker sowie von der aktiven Registerkarte stammen und das Zugriffs-Token des Benutzers enthalten. Methoden: GET, POST und DELETE.

Der Endpunkt des RUM-Service (Real Use Monitoring) von Adobe. Wird verwendet, um anonyme Nutzungsdaten zu erfassen. Anfragen können vom Service Worker stammen, da sowie die aktive Registerkarte. Methode: POST

Der Endpunkt der konfigurierten SharePoint-. Wird zum Abrufen des driveItem verwendet, wenn Die URL in der aktiven Registerkarte entspricht dem konfigurierten SharePoint-Host. Anfragen stammen aus der aktiven Registerkarte und können die SharePoint des Benutzers enthalten Anmeldeinformationen. Methode: GET

Die URLs Ihrer Vorschau- und Live-Umgebung. Wird verwendet, um den Browser-Cache nach Vorschau- und Veröffentlichungsvorgängen zu aktualisieren. Anfragen können von stammen. Der Service Worker sowie die aktuelle Registerkarte und können die Anmeldeinformationen des Benutzers enthalten. Methode: GET

`Einschränken des Zugriffs

Sie können den Zugriff der Sidekick auf bestimmte Hosts für alle Benutzenden in Ihrem Unternehmen einschränken, indem Sie die runtime_blocked_hosts- und runtime_allowed_hosts im Chrome-Profil Ihres Unternehmens definieren. Weitere Informationen finden Sie in der Dokumentation Google zum von Erweiterungen in Ihrem Unternehmen .

Beispiel 1: Alles zulassen, wenige verweigern

{ "igkmdomcgoebiipaifhmpfjhbjccggml": { "runtime_blocked_hosts": [ "https://intranet.example.com/", "https://extranet.example.com/" ] } }

Dadurch würde verhindert, dass die Sidekick-Erweiterung mit URLs interagiert, die mit https://intranet.example.com/* oder https://extranet.example.com/* übereinstimmen.

Beispiel 2: Alles verweigern, wenige zulassen

{ "igkmdomcgoebiipaifhmpfjhbjccggml": { "runtime_blocked_hosts": ["http*:///"], "runtime_allowed_hosts": [ "https://admin.hlx.page/", "https://rum.hlx.page/", "http://localhost:3000/", "https://.sharepoint.com/", "https://--project--example.aem./" ] } }

Dies würde verhindern, dass die Sidekick-Erweiterung mit beliebigen URL interagiert, mit Ausnahme der URLs, die einem in runtime_allowed_hosts definierten Muster entsprechen. In diesem Beispiel wird eine Kombination aus dem host_permissions in der Manifestdatei und der Liste der URLs aus dem Kapitel Netzwerkanfragen verwendet, um ein Höchstmaß an Funktionalität und ein optimales Benutzererlebnis sicherzustellen.

Sicherheitsprüfungen

Der gesamte Quell-Code der Sidekick ist öffentlich verfügbar und unterliegt - wie alle AEM-Programme - regelmäßigen Audits durch Sicherheitsexperten von Drittanbietern. Berichte können mit Kunden und potenziellen Kunden im Rahmen der NDA geteilt werden.`

recommendation-more-help

10a6ce9d-c5c5-48d9-8ce1-9797d2f0f3ec