3. Autenticazione e gestione delle sessioni interrotte

AEM utilizza tecniche di autenticazione valide e comprovate, basate su Apache Jackrabbit e Apache Sling. Le sessioni browser/HTTP non vengono utilizzate nell’AEM.

4. Riferimenti diretti agli oggetti non sicuri

Tutti gli accessi agli oggetti dati sono mediati dall’archivio e pertanto limitati dal controllo degli accessi basato sul ruolo.

5. Cross-Site Request Forgery (CSRF)

La funzione Cross-Site Request Forgery (CSRF) viene mitigata inserendo automaticamente un token di crittografia in tutti i moduli e le richieste AJAX e verificando tale token sul server per ogni POST.

Inoltre, l'AEM viene fornito con un filtro basato sull'intestazione del referente, che può essere configurato per solo consentire richieste POST da host specifici (definiti in un elenco).

6. Configurazione errata della sicurezza

È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, Adobe si impegna a fornire il maggior numero possibile di indicazioni e a semplificare il più possibile la configurazione. Inoltre, l'AEM viene fornito con controlli di integrità della sicurezza integrati che consentono di monitorare immediatamente la configurazione della sicurezza.

Esaminare l'elenco di controllo protezione per ulteriori informazioni che forniscono istruzioni dettagliate sulla protezione avanzata.

7. Archiviazione crittografica non sicura

Le password vengono memorizzate come hash di crittografia nel nodo utente. Per impostazione predefinita, tali nodi sono leggibili solo dall’amministratore e dall’utente stesso.

I dati sensibili, come le credenziali di terze parti, vengono archiviati in formato crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.

8. Mancata limitazione dell’accesso agli URL

L'archivio consente l'impostazione di privilegi granulari (come specificato da JCR) per qualsiasi utente o gruppo specificato in un determinato percorso, tramite le voci di controllo di accesso. Le restrizioni di accesso vengono applicate dall’archivio.

9. Protezione insufficiente del livello di trasporto

Mitigato dalla configurazione del server (ad esempio, utilizza solo HTTPS).

10. Reindirizzamenti e inoltri non convalidati

Attenuata limitando tutti i reindirizzamenti a destinazioni interne fornite dall’utente.

Experience Manager