AEM 6.4 ha raggiunto la fine del supporto esteso e questa documentazione non viene più aggiornata. Per maggiori dettagli, consulta la nostra periodi di assistenza tecnica. Trova le versioni supportate qui.
La Apri progetto di sicurezza applicazione Web (OWASP) mantiene un elenco di ciò che considerano come Primi 10 rischi per la sicurezza delle applicazioni web.
Questi sono elencati di seguito, insieme a una spiegazione di come CRX tratta con loro.
La pratica generale di mitigazione è quella di codificare tutti gli output di contenuti generati dagli utenti utilizzando una libreria di protezione XSS lato server basata su Codificatore OWASP e AntiSamy.
XSS è una priorità assoluta sia durante i test che durante lo sviluppo e tutti i problemi rilevati vengono (in genere) risolti immediatamente.
AEM utilizza tecniche di autenticazione sonore e comprovate, affidandosi Apache Jackrabbit e Sling Apache. Le sessioni browser/HTTP non sono utilizzate in AEM.
L’accesso a tutti gli oggetti dati viene mediato dall’archivio e quindi limitato dal controllo degli accessi basato su ruoli.
Il CSRF (Cross-Site Request Forgery) è mitigato dall’inserimento automatico di un token di crittografia in tutti i moduli e le richieste di AJAX e dalla verifica di tale token sul server per ogni POST.
Inoltre, AEM viene fornito con un filtro basato su intestazione referrer, che può essere configurato per only consentire le richieste POST da host specifici (definiti in un elenco).
È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, ci sforziamo di fornire il maggior numero possibile di indicazioni e rendere la configurazione il più semplice possibile. Inoltre, AEM navi con controlli di sicurezza integrati che consentono di monitorare immediatamente la configurazione della sicurezza.
Controlla la Lista di controllo sicurezza per ulteriori informazioni che forniscono istruzioni dettagliate sull’indurimento.
le password sono memorizzate come hash di crittografia nel nodo utente; per impostazione predefinita tali nodi sono leggibili solo dall’amministratore e dall’utente stesso.
I dati sensibili, come le credenziali di terze parti, vengono memorizzati in formato crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.
L'archivio consente l'impostazione di privilegi a grana fine (come specificato da JCR) per qualsiasi utente o gruppo specificato in un determinato percorso, tramite le voci del controllo di accesso. Le restrizioni di accesso sono applicate dall’archivio.
È attenuata dalla configurazione del server (ad esempio, utilizza solo HTTPS).
È possibile attenuare la limitazione di tutti i reindirizzamenti alle destinazioni fornite dall’utente nelle posizioni interne.