Sécurité d’AEM Sidekick

Last update: Thu Feb 27 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Rubriques :
Edge Delivery Services

Cette page décrit les aspects de sécurité du Sidekick tels que les autorisations de navigateur requises, les demandes d’accès à des informations personnelles et les demandes réseau effectuées pendant l’opération.

Vous pouvez également consulter les ressources suivantes pour plus d’informations :

La page de liste dans Google Chrome Web Store
Le fichier manifestesur GitHub (open source)
Le menu contextuel de l’extension

Autorisations de navigateur

Le Sidekick requiert les autorisations de navigateur suivantes, telles que définies dans son fichier manifeste pour fonctionner comme prévu :

Autorisation

Justification

activeTab

Obligatoire pour déterminer s’il faut afficher ou masquer le Sidekick dans l’onglet actif

contextMenus

Requis pour simplifier l’ajout et la suppression de projets

déclarativeNetRequests

Obligatoire pour ajouter un jeton d’accès précédemment stocké aux requêtes effectuées auprès de l’API d’administration

script

Obligatoire pour charger le Sidekick dans un onglet de navigateur approprié

stockage

Obligatoire pour conserver les éléments suivants :

paramètres d’état (stockage local)
configurations de projet (synchronisées sur plusieurs appareils)
jetons d’accès (stockage de session)

autorisations d’hôte

Hôtes requis :

[li> http://localhost:3000/*http://localhost:3000/*) [li>https://*/*https://*/*

Confidentiel

Sidekick collecte l’activité des utilisateurs, ce qui permet à Adobe de :

Découvrez comment les utilisateurs interagissent avec l’interface utilisateur
Améliorer l’expérience utilisateur dans les prochaines versions

Toutes les données collectées sont :

Minimale : noms des actions sur lesquelles les utilisateurs cliquent dans l’interface utilisateur et URL cibles.
Échantillonné : seule une interaction sur 10 déclenche la collecte de données.
Anonyme : aucune donnée personnelle n’est transmise ou stockée.
Sécurisé : les données sont transmises via HTTPS et seul le personnel Adobe autorisé a accès aux données stockées.

Adobe déclare que les données utilisateur sont :

Ne pas être vendu à des tiers
Ne pas être utilisé ou transféré à des fins qui ne sont pas liées à la fonctionnalité principale de l’élément
Ne pas être utilisé ou transféré pour déterminer la solvabilité ou à des fins de prêt

Demandes réseau

Le Sidekick effectue une requête HTTPS aux hôtes suivants :

https://admin.hlx.page/*

`[td>

https://rum.hlx.page/*

https://rum.hlx.page/*``[td>

https://.sharepoint.com/

https://.sharepoint.com/``[td>

https://--project--example.aem./*

https://--project--example.aem./*`

Requête réseau

Justification

Point d’entrée de l’API d’administration AEM. Utilisé pour effectuer des actions telles que la prévisualisation, la publication et la connexion. Les requêtes peuvent provenir du service worker ainsi que de l’onglet actif et peuvent inclure le jeton d’accès de l’utilisateur. Méthodes : GET, POST et DELETE.

Point d’entrée du service RUM (Real Use Monitoring) d’Adobe. Utilisé pour collecter des données d’utilisation anonymes. Les requêtes peuvent provenir du service worker en tant que ainsi que l’onglet actif. Méthode : POST

Point d’entrée de l’instance SharePoint configurée. Utilisé pour récupérer le driveItem si l’URL figurant dans l’onglet actif correspond à l’hôte SharePoint configuré. Les requêtes proviennent de l’onglet actif et peuvent inclure le SharePoint de l’utilisateur ou de l’utilisatrice informations d’identification. Méthode : GET

Les URL de vos environnements d’aperçu et dynamiques. Permet d’actualiser le cache du navigateur après les opérations de prévisualisation et de publication. Les requêtes peuvent provenir de Le service worker ainsi que l’onglet actif et peuvent inclure les informations d’identification de l’utilisateur. Méthode : GET

`Restriction d’accès

Vous pouvez restreindre l’accès du Sidekick à certains hôtes pour tous les utilisateurs et utilisatrices de votre entreprise en définissant les paramètres de runtime_blocked_hosts et de runtime_allowed_hosts dans le profil Chrome de votre entreprise. Pour plus d’informations, consultez la documentation de Google sur Gestion des extensions dans votre entreprise.

Exemple 1 : Autoriser tout, en refuser quelques-uns

{ "igkmdomcgoebiipaifhmpfjhbjccggml": { "runtime_blocked_hosts": [ "https://intranet.example.com/", "https://extranet.example.com/" ] } }

Cela empêcherait l’extension Sidekick d’interagir avec toute URL correspondant à https://intranet.example.com/* ou https://extranet.example.com/*.

Exemple 2 : refuser tout, en autoriser peu

{ "igkmdomcgoebiipaifhmpfjhbjccggml": { "runtime_blocked_hosts": ["http*:///"], "runtime_allowed_hosts": [ "https://admin.hlx.page/", "https://rum.hlx.page/", "http://localhost:3000/", "https://.sharepoint.com/", "https://--project--example.aem./" ] } }

Cela empêcherait l’extension Sidekick d’interagir avec n’importe quelle URL any, à l’exception de celles correspondant à un modèle défini dans runtime_allowed_hosts. Cet exemple utilise une combinaison des host_permissions du fichier manifeste et de la liste des URL du chapitre Demandes réseau ci-dessus pour garantir un maximum de fonctionnalités et une expérience utilisateur optimale.

Audits de sécurité

L’intégralité du code source de Sidekick est accessible au public et, comme tous les AEM, fait l’objet d’audits réguliers effectués par des chercheurs en sécurité tiers. Les rapports peuvent être partagés avec les clients et les prospects sous accord de confidentialité.`

recommendation-more-help

10a6ce9d-c5c5-48d9-8ce1-9797d2f0f3ec