Open Web Application Security Project(OWASP)は、Top 10 Web Application Security Risks(Web アプリケーションに関する上位 10 件のセキュリティリスク)のリストを保持しています。
これらのリスクおよび CRX での対処方法を以下に示します。
このリスクを軽減する一般的な方法は、OWASP Encoder と AntiSamy に基づくサーバー側の XSS 保護ライブラリを使用して、ユーザーが生成したコンテンツのすべての出力をエンコードすることです。
XSS はテスト時および開発時における最優先事項であり、検出された問題は(通常)すぐに解決されます。
AEM では、Apache Jackrabbit と Apache Sling に基づく、堅実で実績のある認証手法を利用しています。ブラウザー/HTTP セッションは AEM では使用されません。
データオブジェクトへのすべてのアクセスは、リポジトリが介在するので、役割に基づくアクセス制御によって制限されます。
クロスサイトリクエストフォージェリ(CSRF)は、暗号トークンをあらゆる形式および AJAX リクエストに自動的に注入し、すべての POST についてこのトークンをサーバー上で検証することで軽減されます。
さらに、AEM に搭載されているリファラーヘッダーベースのフィルターを設定して、特定のホスト(リストで定義)からの POST リクエストのみを許可することができます。
すべてのソフトウェアを常に正しく設定した状態にしておくことは不可能です。しかし、アドビでは、できるだけ多くのガイダンスを提供し、設定をできるだけシンプルにするよう努めています。さらに、AEM に搭載されているセキュリティヘルスチェック機能により、一目でセキュリティ設定を監視できます。
詳しくは、セキュリティチェックリストを参照してください。セキュリティ強化の手順を段階的に説明しています。
パスワードは暗号化ハッシュとしてユーザーノードに格納されます。デフォルトでは、このようなノードは管理者とユーザー自身だけが確認できます。
サードパーティの資格情報などのような重要な情報は、FIPS 140-2 認定を受けた暗号ライブラリを使用して、暗号化された形式で保存されます。
リポジトリでは、アクセス制御エントリを使用して、特定のパスの特定のユーザーまたはグループに対して(JCR で指定された)詳細な権限を設定できます。アクセス制限はリポジトリによって適用されます。
サーバー設定(例:HTTPS のみの使用)によって軽減されます。
ユーザーが指定した宛先へのすべてのリダイレクトを内部の場所に制限することで軽減されます。