Sécurité

La sécurité des applications débute lors de la phase de développement. Adobe recommande d’appliquer les méthodes de sécurité suivantes.

Utilisation de la session de requête

Conformément au principe des privilèges allégés, l'Adobe recommande que chaque accès au référentiel soit effectué en utilisant la session liée à la demande de l'utilisateur et au contrôle d'accès approprié.

Protection contre les scripts de site à site (XSS)

Les scripts de site à site (XSS) permettent aux pirates d’injecter du code dans des pages web consultées par d’autres utilisateurs. Cette faille de sécurité peut être exploitée par des internautes malveillants pour contourner les contrôles d’accès.

AEM applique le principe de filtrage de l’ensemble du contenu fourni par l’utilisateur lors de la sortie. La prévention du script intersite (XSS) se voit accorder la priorité la plus élevée lors des phases de développement et de test.

Le mécanisme de protection XSS proposé par AEM est basé sur la Bibliothèque Java AntiSamy fournie par OWASP (The Open Web Application Security Project). La configuration par défaut d'AntiSamy se trouve à l'adresse

/libs/cq/xssprotection/config.xml

Il est important que vous adaptiez cette configuration à vos besoins de sécurité en superposant le fichier de configuration. Vous trouverez, dans la documentation officielle d’AntiSamy, toutes les informations nécessaires pour satisfaire vos exigences en matière de sécurité.

Remarque

Il est vivement conseillé de toujours accéder à l’API de protection XSS en utilisant l’interface XSSAPI fournie par AEM.

De plus, un pare-feu d'application Web, tel que mod_security pour Apache, peut fournir un contrôle central fiable sur la sécurité de l'environnement de déploiement et protéger contre les attaques de script intersite non détectées précédemment.

Accès aux informations de service cloud

Remarque

Les listes de contrôles d’accès (ACL) relatives aux informations de service cloud, ainsi que les paramètres OSGi requis pour sécuriser votre instance sont automatisés dans le cadre du mode Prêt pour la production. Cela signifie que vous ne devez pas apporter de modifications manuelles à la configuration. Cependant, il est conseillé de les passer en revue avant le déploiement proprement dit.

Lorsque vous intégrez votre instance AEM dans Adobe Marketing Cloud, vous utilisez des configurations de service cloud. Les informations relatives à ces configurations, ainsi que les éventuelles statistiques collectées, sont stockées dans le référentiel. Si vous utilisez cette fonctionnalité, il est recommandé de vérifier si le niveau de sécurité par défaut relatif à ces informations répond à vos besoins.

Le module webservicesupport enregistre des statistiques et des informations de configuration sous :

/etc/cloudservices

Avec les autorisations par défaut :

  • Environnement de l’auteur : read pour contributors

  • Environnement de publication : read pour everyone

Protection contre les attaques par falsification de requête intersite

Pour plus d’informations sur les mécanismes de sécurité mis en œuvre par AEM pour limiter l’impact des attaques CSRF, reportez-vous à la section Sling Referrer Filter de la liste de contrôle de sécurité et à la documentation de l’infrastructure de protection CSRF.

Sur cette page