Seguridad security
La seguridad de la aplicación se inicia durante la fase de desarrollo. Adobe recomienda aplicar las siguientes prácticas recomendadas de seguridad.
Usar sesión de solicitud use-request-session
Siguiendo el principio de menor privilegio, Adobe recomienda que cada acceso al repositorio se realice utilizando la sesión enlazada a la solicitud del usuario y el control de acceso adecuado.
Protect contra scripts en sitios múltiples (XSS) protect-against-cross-site-scripting-xss
La ejecución de scripts en sitios múltiples (XSS) permite a los atacantes insertar código en páginas web vistas por otros usuarios. Esta vulnerabilidad de seguridad puede ser explotada por usuarios web malintencionados para evitar los controles de acceso.
AEM aplica el principio de filtrado de todo el contenido proporcionado por el usuario en la salida. La prevención de XSS tiene la prioridad más alta durante el desarrollo y las pruebas.
El mecanismo de protección XSS proporcionado por AEM se basa en la variable Biblioteca Java AntiSamy proporcionado por OWASP (El proyecto de seguridad de la aplicación web abierta). La configuración predeterminada de AntiSamy se encuentra en
/libs/cq/xssprotection/config.xml
Es importante que adapte esta configuración a sus propias necesidades de seguridad superponiendo el archivo de configuración. El oficial Documentación AntiSamy le proporcionará toda la información que necesite para implementar sus requisitos de seguridad.
Además, un cortafuegos de la aplicación web, como mod_security para Apache, puede proporcionar un control central fiable sobre la seguridad del entorno de implementación y protegerse contra ataques de scripts entre sitios no detectados anteriormente.
Acceso a la información del Cloud Service access-to-cloud-service-information
Cuando integrar la instancia de AEM con Adobe Marketing Cloud utilice configuraciones del Cloud Service. La información sobre estas configuraciones, junto con las estadísticas recopiladas, se almacenan en el repositorio. Le recomendamos que, si utiliza esta funcionalidad, revise si la seguridad predeterminada de esta información coincide con sus necesidades.
El módulo webservicesupport escribe estadísticas e información de configuración en:
/etc/cloudservices
Con los permisos predeterminados:
-
Entorno de creación:
read
paracontributors
-
Entorno de publicación:
read
paraeveryone
Protect contra ataques de falsificación de solicitudes entre sitios protect-against-cross-site-request-forgery-attacks
Para obtener más información sobre los mecanismos de seguridad que AEM emplea para mitigar los ataques de CSRF, consulte la Filtro de referente de Sling de la lista de comprobación de seguridad y la sección Documentación del marco de protección CSRF.