Sicurezza security

La sicurezza dell’applicazione viene avviata durante la fase di sviluppo. L’Adobe consiglia di applicare le seguenti best practice per la sicurezza.

Usa sessione di richiesta use-request-session

In base al principio del privilegio minimo, l’Adobe consiglia di eseguire ogni accesso all’archivio utilizzando la sessione associata alla richiesta dell’utente e un controllo di accesso appropriato.

Protect contro il cross-site scripting (XSS) protect-against-cross-site-scripting-xss

Il cross-site scripting (XSS) consente agli aggressori di inserire codice nelle pagine web visualizzate da altri utenti. Questa vulnerabilità di sicurezza può essere sfruttata da utenti Web malintenzionati per aggirare i controlli di accesso.

L'AEM applica il principio di filtrare tutti i contenuti forniti dall'utente al momento dell'output. Prevenire l’XSS è data la massima priorità sia durante lo sviluppo che durante il test.

Il meccanismo di protezione XSS fornito da AEM si basa sulla libreria Java™ AntiSamy fornita da OWASP (The Open Web Application Security Project). La configurazione predefinita di AntiSamy è disponibile all'indirizzo

/libs/cq/xssprotection/config.xml

È importante adattare questa configurazione alle proprie esigenze di sicurezza sovrapponendo il file di configurazione. La documentazione ufficiale di AntiSamy fornisce tutte le informazioni necessarie per implementare i requisiti di sicurezza.

NOTE
L'Adobe consiglia di accedere sempre all'API di protezione XSS utilizzando XSSAPI fornita dall'AEM.

Inoltre, un firewall dell'applicazione Web, ad esempio mod_security per Apache, può fornire un controllo centrale e affidabile sulla sicurezza dell'ambiente di distribuzione e proteggere da attacchi di cross-site scripting non rilevati in precedenza.

Accesso alle informazioni del Cloud Service access-to-cloud-service-information

NOTE
Le ACL per le informazioni di Cloud Service e le impostazioni OSGi necessarie per proteggere l'istanza sono automatizzate come parte della modalità pronta per la produzione. Anche se questo significa che non è necessario modificare la configurazione manualmente, si consiglia comunque di rivederla prima di eseguire la distribuzione.

Quando integri l'istanza AEM con Adobe Experience Cloud, utilizzi configurazioni di Cloud Service. Le informazioni su queste configurazioni, insieme a eventuali statistiche raccolte, vengono memorizzate nell’archivio. L'Adobe consiglia, se si utilizza questa funzionalità, di verificare se la protezione predefinita di queste informazioni soddisfa i requisiti.

Il modulo webservicesupport scrive statistiche e informazioni di configurazione in:

/etc/cloudservices

Con le autorizzazioni predefinite:

  • Ambiente di authoring: read per contributors

  • Ambiente Publish: read per everyone

Protect contro gli attacchi di tipo Cross-Site Request Forgery protect-against-cross-site-request-forgery-attacks

Per ulteriori informazioni sui meccanismi di sicurezza utilizzati dall'AEM per mitigare gli attacchi CSRF, consulta la sezione Sling Referrer Filter dell'elenco di controllo della sicurezza e la documentazione del framework di protezione CSRF.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2