Seguridad

Inicios de seguridad de la aplicación durante la fase de desarrollo. Adobe recomienda aplicar las siguientes optimizaciones de seguridad.

Usar sesión de solicitud

Siguiendo el principio de los menos privilegios, Adobe recomienda que cada acceso al repositorio se realice utilizando la sesión enlazada a la solicitud del usuario y el control de acceso adecuado.

Protect contra scripts entre sitios (XSS)

La secuencia de comandos entre sitios (XSS) permite a los atacantes insertar código en páginas web vistas por otros usuarios. Esta vulnerabilidad de seguridad puede ser aprovechada por usuarios web malintencionados para evitar controles de acceso.

AEM aplica el principio de filtrar todo el contenido proporcionado por el usuario durante la salida. La prevención de XSS recibe la máxima prioridad durante el desarrollo y las pruebas.

El mecanismo de protección XSS proporcionado por AEM se basa en la biblioteca Java AntiSamy proporcionada por OWASP (proyecto de seguridad de Aplicación web abierta). La configuración predeterminada de AntiSamy se encuentra en

/libs/cq/xssprotection/config.xml

Es importante adaptar esta configuración a sus propias necesidades de seguridad mediante la superposición del archivo de configuración. La documentación oficial de AntiSamy le proporcionará toda la información que necesita para implementar sus requerimientos de seguridad.

NOTA

Le recomendamos encarecidamente que siempre acceda a la API de protección XSS mediante el uso de XSSAPI proporcionado por AEM.

Además, un firewall de aplicaciones web, como mod_security para Apache, puede proporcionar un control central y confiable sobre la seguridad del entorno de implementación y protegerse contra ataques de scripts entre sitios no detectados anteriormente.

Acceso a la información del Cloud Service

NOTA

Las ACL para la información del Cloud Service, así como la configuración de OSGi necesaria para proteger su instancia, se automatizan como parte del modo listo para la producción. Aunque esto significa que no necesita realizar los cambios de configuración manualmente, se recomienda revisarlos antes de empezar a implementar la implementación.

Cuando integra la instancia de AEM con Adobe Marketing Cloud, utiliza configuraciones de Cloud Service. La información sobre estas configuraciones, junto con las estadísticas recopiladas, se almacenan en el repositorio. Recomendamos que, si utiliza esta funcionalidad, revise si la seguridad predeterminada de esta información coincide con sus necesidades.

El módulo webservicesupport escribe estadísticas e información de configuración en:

/etc/cloudservices

Con los permisos predeterminados:

  • Entorno del autor: read para contributors

  • Entorno de publicación: read para everyone

Protect contra ataques de falsificación de solicitudes entre sitios

Para obtener más información sobre los mecanismos de seguridad AEM emplea para mitigar los ataques de CSRF, consulte la sección Filtro de Remitente del reenvío Sling de la lista de comprobación de seguridad y la documentación del marco de protección de CSRF.

En esta página