Sicurezza

Application Security inizia durante la fase di sviluppo. Adobe consiglia di applicare le seguenti procedure consigliate per la protezione.

Usa sessione di richiesta

In base al principio dei privilegi minimi, Adobe raccomanda che ogni accesso al repository venga effettuato utilizzando la sessione associata alla richiesta dell'utente e al controllo di accesso adeguato.

Protect per lo scripting tra siti (XSS)

Lo scripting tra siti (XSS) consente agli aggressori di inserire codice nelle pagine Web visualizzate da altri utenti. Questa vulnerabilità di sicurezza può essere sfruttata da utenti Web malintenzionati per aggirare i controlli di accesso.

AEM applica il principio di filtraggio di tutti i contenuti forniti dall’utente al momento dell’output. La prevenzione di XSS viene data la massima priorità sia durante lo sviluppo che durante i test.

Il meccanismo di protezione XSS fornito da AEM si basa sulla Libreria Java AntiSamy fornita da OWASP (Open Web Application Security Project). La configurazione predefinita di AntiSamy si trova in

/libs/cq/xssprotection/config.xml

È importante adattare questa configurazione alle proprie esigenze di sicurezza sovrapponendo il file di configurazione. La documentazione ufficiale AntiSamy ti fornirà tutte le informazioni necessarie per implementare i tuoi requisiti di sicurezza.

NOTA

È consigliabile accedere sempre all'API di protezione XSS utilizzando l' XSSAPI fornito da AEM.

Inoltre, un firewall per applicazioni Web, come mod_security for Apache, può fornire un controllo centrale affidabile sulla sicurezza dell'ambiente di distribuzione e proteggere contro attacchi di script tra siti non rilevati in precedenza.

Accesso alle informazioni sul Cloud Service

NOTA

Gli ACL per le Informazioni sul Cloud Service e le impostazioni OSGi necessarie per proteggere l'istanza vengono automatizzati come parte della Modalità pronta per la produzione. Anche se questo significa che non è necessario apportare manualmente le modifiche alla configurazione, è comunque consigliabile rivederle prima di iniziare a utilizzare la distribuzione.

Quando si integrare l'istanza AEM con l'Adobe Marketing Cloud si utilizzano le configurazioni di Cloud Service . Le informazioni su queste configurazioni, insieme alle eventuali statistiche raccolte, sono memorizzate nella directory archivio. Se utilizzate questa funzionalità, è consigliabile verificare se la protezione predefinita di queste informazioni corrisponde ai requisiti.

Il modulo di supporto del servizio Web scrive le statistiche e le informazioni di configurazione in:

/etc/cloudservices

Con le autorizzazioni predefinite:

  • Ambiente di authoring: read per contributors

  • Ambiente di pubblicazione: read per everyone

Protect contro attacchi di contraffazione delle richieste cross-site

Per ulteriori informazioni sui meccanismi di sicurezza AEM utilizzati per attenuare gli attacchi CSRF, vedere la sezione Filtro referente Sling dell'elenco di controllo della sicurezza e la documentazione relativa al quadro di protezione CSRF](/docs/experience-manager-64/sites-developing/csrf-protection.html?lang=it).[

In questa pagina

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free