Segurança

Última atualização em 2023-07-11

A Segurança de aplicativos é iniciada durante a fase de desenvolvimento. O Adobe recomenda aplicar as seguintes práticas recomendadas de segurança.

Usar sessão de solicitação

Seguindo o princípio de privilégio mínimo, o Adobe recomenda que todo acesso ao repositório seja feito usando a sessão vinculada à solicitação do usuário e o controle de acesso adequado.

Protect contra Scripts entre sites (XSS)

A criação de script entre sites (XSS) permite que invasores injetem código em páginas da Web visualizadas por outros usuários. Essa vulnerabilidade de segurança pode ser explorada por usuários mal-intencionados da Web para ignorar controles de acesso.

O AEM aplica o princípio de filtrar todo o conteúdo fornecido pelo usuário na saída. É dada a maior prioridade à prevenção de XSS durante o desenvolvimento e o teste.

O mecanismo de proteção XSS fornecido pelo AEM baseia-se no Biblioteca Java™ antisspam fornecido por OWASP (The Open Web Application Security Project, Projeto de Segurança de Aplicações Web Abertas). A configuração padrão do AntiSamy pode ser encontrada em

/libs/cq/xssprotection/config.xml

É importante adaptar essa configuração às suas necessidades de segurança, sobrepondo o arquivo de configuração. O funcionário Documentação do AntiSamy O fornece todas as informações necessárias para implementar seus requisitos de segurança.

OBSERVAÇÃO

O Adobe recomenda que você sempre acesse a API de proteção XSS usando a variável XSSAPI fornecido por AEM.

Além disso, um firewall de aplicativo web, como mod_security para ApacheO, oferece controle confiável e central sobre a segurança do ambiente de implantação e proteção contra ataques de script entre sites não detectados anteriormente.

Acesso às informações do Cloud Service

OBSERVAÇÃO

As ACLs para as Informações de Cloud Service e as configurações de OSGi necessárias para proteger sua instância são automatizadas como parte da Modo de produção pronto. Embora isso signifique que não é necessário alterar a configuração manualmente, ainda é recomendável revisá-los antes de entrar em funcionamento com a implantação.

Quando você integrar sua instância do AEM à Adobe Experience Cloud, você usa configurações de Cloud Service. As informações sobre essas configurações, juntamente com quaisquer estatísticas coletadas, são armazenadas no repositório. A Adobe recomenda que, se estiver usando essa funcionalidade, você verifique se a segurança padrão nessas informações corresponde aos seus requisitos.

O módulo webservicesupport grava estatísticas e informações de configuração em:

/etc/cloudservices

Com as permissões padrão:

  • Ambiente do autor: read para contributors

  • Ambiente de publicação: read para everyone

Protect contra ataques de falsificação de solicitação entre sites

Para obter mais informações sobre os mecanismos de segurança que o AEM utiliza para mitigar ataques de CSRF, consulte Sling Referrer Filter seção da Lista de verificação de segurança e da Documentação da Estrutura de proteção CSRF.

Nesta página