Sécurité

La sécurité des applications débute lors de la phase de développement. Adobe recommande d’appliquer les méthodes de sécurité suivantes.

Utilisation de la session de requête

En respectant le principe des privilèges leas, Adobe recommande que chaque accès au référentiel soit effectué à l’aide de la session liée à la demande de l’utilisateur et au contrôle d’accès approprié.

Protection contre les scripts de site à site (XSS)

Les scripts de site à site (XSS) permettent aux pirates d’injecter du code dans des pages web consultées par d’autres utilisateurs. Cette faille de sécurité peut être exploitée par des internautes malveillants pour contourner les contrôles d’accès.

AEM applique le principe de filtrage de l’ensemble du contenu fourni par l’utilisateur lors de la sortie. La prévention du script intersite (XSS) se voit accorder la priorité la plus élevée lors des phases de développement et de test.

Le mécanisme de protection XSS proposé par AEM est basé sur la Bibliothèque Java AntiSamy fournie par OWASP (The Open Web Application Security Project). La configuration par défaut d’AntiSamy se trouve à l’adresse

/libs/cq/xssprotection/config.xml

Il est important que vous adaptiez cette configuration à vos besoins en matière de sécurité en recouvrant le fichier de configuration. Vous trouverez, dans la documentation officielle d’AntiSamy, toutes les informations nécessaires pour satisfaire vos exigences en matière de sécurité.

REMARQUE

Il est vivement conseillé de toujours accéder à l’API de protection XSS en utilisant l’interface XSSAPI fournie par AEM.

En outre, un pare-feu d’application web, tel que mod_security pour Apache, peut fournir un contrôle central fiable sur la sécurité de l’environnement de déploiement et se protéger contre les attaques de script intersite qui n’avaient pas été détectées auparavant.

Accès aux informations de service cloud

REMARQUE

Les listes de contrôles d’accès (ACL) relatives aux informations de service cloud, ainsi que les paramètres OSGi requis pour sécuriser votre instance sont automatisés dans le cadre du mode Prêt pour la production. Cela signifie que vous ne devez pas apporter de modifications manuelles à la configuration. Cependant, il est conseillé de les passer en revue avant le déploiement proprement dit.

Lorsque vous intégrez votre instance AEM dans Adobe Marketing Cloud, vous utilisez des configurations de service cloud. Les informations relatives à ces configurations, ainsi que les éventuelles statistiques collectées, sont stockées dans le référentiel. Si vous utilisez cette fonctionnalité, il est recommandé de vérifier si le niveau de sécurité par défaut relatif à ces informations répond à vos besoins.

Le module webservicesupport enregistre des statistiques et des informations de configuration sous :

/etc/cloudservices

Avec les autorisations par défaut :

  • Environnement de création : read pour contributors

  • Environnement de publication : read pour everyone

Protection contre les attaques par falsification de requête intersite

Pour plus d’informations sur les mécanismes de sécurité mis en œuvre par AEM pour limiter l’impact des attaques CSRF, reportez-vous à la section Sling Referrer Filter de la liste de contrôle de sécurité et à la documentation de l’infrastructure de protection CSRF.

Sur cette page