Seguridad

inicios de seguridad de la aplicación durante la fase de desarrollo. Adobe recomienda aplicar las siguientes optimizaciones de seguridad.

Usar sesión de solicitud

Siguiendo el principio de privilegios de leas, Adobe recomienda que cada acceso al repositorio se realice utilizando la sesión vinculada a la solicitud del usuario y el control de acceso adecuado.

Protect contra scripts entre sitios (XSS)

La secuencia de comandos entre sitios (XSS) permite a los atacantes insertar código en páginas web vistas por otros usuarios. Esta vulnerabilidad de seguridad puede ser aprovechada por usuarios web malintencionados para evitar controles de acceso.

AEM aplica el principio de filtrar todo el contenido proporcionado por el usuario durante la salida. La prevención de XSS recibe la máxima prioridad durante el desarrollo y las pruebas.

El mecanismo de protección XSS proporcionado por AEM se basa en la biblioteca Java AntiSamy proporcionada por OWASP (Proyecto de seguridad de Aplicación web abierta). La configuración predeterminada de AntiSamy se encuentra en

/libs/cq/xssprotection/config.xml

Es importante adaptar esta configuración a sus propias necesidades de seguridad mediante la superposición del archivo de configuración. La documentación oficial de AntiSamy le proporcionará toda la información necesaria para implementar sus requisitos de seguridad.

Nota

Le recomendamos encarecidamente que siempre acceda a la API de protección XSS mediante el uso del XSSAPI proporcionado por AEM.

Además, un servidor de seguridad de aplicaciones web, como mod_security para Apache, puede proporcionar un control centralizado y fiable sobre la seguridad del entorno de implementación y protegerse contra ataques de secuencias de comandos entre sitios no detectados previamente.

Acceso a la información del Cloud Service

Nota

Las ACL para la información del Cloud Service, así como la configuración de OSGi necesaria para proteger la instancia, se automatizan como parte del modo de preparación para laproducción. Aunque esto significa que no necesita realizar los cambios de configuración manualmente, se recomienda revisarlos antes de empezar a implementar la implementación.

Al integrar la instancia de AEM con el Adobe Marketing Cloud , se utilizan configuraciones deCloud Service. La información sobre estas configuraciones, junto con las estadísticas recopiladas, se almacenan en el repositorio. Recomendamos que, si utiliza esta funcionalidad, revise si la seguridad predeterminada de esta información coincide con sus necesidades.

El módulo webservicesupport escribe estadísticas e información de configuración en:

/etc/cloudservices

Con los permisos predeterminados:

  • entorno del autor: read for contributors

  • entorno de publicación: read for everyone

Protect contra ataques de falsificación de solicitudes entre sitios

Para obtener más información sobre los mecanismos de seguridad que AEM emplea para mitigar los ataques de CSRF, consulte la sección Filtro de Remitente del reenvío Sling de la lista de comprobación de seguridad y la documentación delCSRF sobre el marco de protección.

En esta página