Il Progetto di sicurezza di un'applicazione Web aperta (OWASP) mantiene un elenco dei 10 principali rischi di sicurezza dell'applicazione Web principali.
Questi sono elencati di seguito, insieme a una spiegazione di come CRX tratta con loro.
La pratica generale di mitigazione è quella di codificare tutti gli output di contenuti generati dall'utente utilizzando una libreria di protezione XSS lato server basata su OWASP Encoder e AntiSamy.
XSS è una priorità assoluta sia durante i test che durante lo sviluppo e tutti i problemi rilevati vengono (in genere) risolti immediatamente.
AEM utilizza tecniche di autenticazione sonore e comprovate, che si basano su Apache Jackrabbit e Apache Sling. Le sessioni browser/HTTP non sono utilizzate in AEM.
L’accesso a tutti gli oggetti dati viene mediato dall’archivio e quindi limitato dal controllo degli accessi basato su ruoli.
Il CSRF (Cross-Site Request Forgery) è mitigato dall’inserimento automatico di un token di crittografia in tutti i moduli e le richieste di AJAX e dalla verifica di tale token sul server per ogni POST.
Inoltre, AEM viene fornito con un filtro basato sull’intestazione del referente, che può essere configurato su only per consentire le richieste POST da host specifici (definito in un elenco).
È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, ci sforziamo di fornire il maggior numero possibile di indicazioni e rendere la configurazione il più semplice possibile. Inoltre, AEM viene fornito con controlli di sicurezza integrati che consentono di monitorare immediatamente la configurazione della sicurezza.
Per ulteriori informazioni, consulta la Lista di controllo sicurezza che fornisce istruzioni dettagliate per l'indurimento dei passaggi.
le password sono memorizzate come hash di crittografia nel nodo utente; per impostazione predefinita tali nodi sono leggibili solo dall’amministratore e dall’utente stesso.
I dati sensibili, come le credenziali di terze parti, vengono memorizzati in formato crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.
L'archivio consente l'impostazione di privilegi a grana fine (come specificato da JCR) per qualsiasi utente o gruppo in un dato percorso, attraverso le voci di controllo degli accessi. Le restrizioni di accesso sono applicate dall’archivio.
È attenuata dalla configurazione del server (ad esempio, utilizza solo HTTPS).
È possibile attenuare la limitazione di tutti i reindirizzamenti alle destinazioni fornite dall’utente nelle posizioni interne.