Práticas recomendadas de segurança do Campaign ac-security
No Adobe, levamos a segurança da sua experiência digital muito a sério. As práticas de segurança estão profundamente enraizadas em nossos processos e ferramentas internos de desenvolvimento e operações de software e são rigorosamente seguidas por nossas equipes multifuncionais para evitar, detectar e responder a incidentes de maneira adequada.
Além disso, nosso trabalho colaborativo com parceiros, pesquisadores líderes, instituições de pesquisa de segurança e outras organizações do setor nos ajuda a nos manter atualizados com as mais recentes ameaças e vulnerabilidades e regularmente incorporamos técnicas avançadas de segurança aos produtos e serviços que oferecemos.
Privacidade
A configuração e a proteção da privacidade são um elemento essencial da otimização da segurança. Estas são algumas das práticas recomendadas a serem seguidas em relação à privacidade:
- Protect as informações pessoais (PI) do cliente usando HTTPS em vez de HTTP
- Use a restrição de visualização de IP para proteger a privacidade e impedir que os dados sejam usados incorretamente
- Verifique se as senhas criptografadas são restritas
- Proteja as páginas que podem conter informações pessoais, como mirror pages, aplicativos web, etc.
Gerenciamento de acesso
O gerenciamento de acesso é uma parte importante do fortalecimento da segurança. Estas são algumas das principais práticas recomendadas do:
- Criar grupos de segurança suficientes
- Verifique se cada operador tem os direitos de acesso apropriados
Saiba mais sobre permissões em esta seção
Diretrizes de codificação
Ao desenvolver no Adobe Campaign (workflows, Javascript, JSSP etc.), sempre siga estas diretrizes:
-
Scripting: tente evitar instruções SQL. Use funções parametrizadas em vez de concatenação de strings e evite a injeção de SQL colocando as funções SQL a serem utilizadas na lista de permissões.
-
Proteger o modelo de dados: use direitos nomeados para limitar ações do operador, adicionar filtros do sistema (sysFilter)
-
Adicionar captchas em aplicativos da Web: adicione captchas em suas páginas de aterrissagem e páginas de assinatura públicas.
Saiba mais na documentação do Adobe Campaign Classic v7.
Personalização
Ao adicionar links personalizados ao seu conteúdo, sempre evite qualquer personalização na parte do nome do host do URL para evitar possíveis brechas de segurança. Os exemplos a seguir nunca devem ser usados em todos os atributos de URL <a href=""> ou <img src="">:
<%= url >https://<%= url >https://<%= domain >/pathhttps://<%= sub-domain >.domain.tld/pathhttps://sub.domain<%= main domain %>/path
Restrição de dados
Você precisa ter certeza que as senhas criptografadas não estarão acessíveis a um usuário autenticado de baixo privilégio. Para fazer isso, há duas formas principais: restringir o acesso aos campos de senha somente ou à entidade inteira.
Essa restrição permite remover campos de senhas, mas deixa a conta externa acessível a partir da interface para todos os usuários. Saiba mais nesta página.
-
Vá em Administration > Configuration > Data schemas.
-
Criar um novo Extension of a schema.
-
Escolha External Account (extAccount).
-
Na última tela, você pode editar o novo srcSchema para restringir o acesso a todos os campos de senha:
Você pode substituir o elemento principal (
<element name="extAccount" ... >) por:code language-none <element name="extAccount"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="password"/> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="clientSecret"/> <element name="s3Account"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="awsSecret"/> </element> <element name="wapPush"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="password"/> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="clientSecret"/> </element> <element name="mms"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="password"/> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="clientSecret"/> </element> </element>Então, seu srcSchema estendido pode se parecer com:
code language-none <...> <element name="extAccount"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="password"/> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="clientSecret"/> <element name="s3Account"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="awsSecret"/> </element> <element name="wapPush"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="password"/> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="clientSecret"/> </element> <element name="mms"> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="password"/> <attribute accessibleIf="$(loginId) = 0 or $(login) = 'admin'" name="clientSecret"/> </element> </element> <...>note note NOTE Você pode substituir $(loginId) = 0 or $(login) = 'admin'porhasNamedRight('admin')para permitir que todos os usuários com direito de administrador vejam essas senhas.
Gerenciamento de acesso
O gerenciamento de acesso é uma parte importante do fortalecimento da segurança. Estas são algumas das principais práticas recomendadas do:
- Criar grupos de segurança suficientes
- Verifique se cada operador tem os direitos de acesso apropriados
Saiba mais sobre permissões em nesta seção.
Diretrizes de codificação
Ao desenvolver no Adobe Campaign (workflows, Javascript, JSSP etc.), sempre siga estas diretrizes:
-
Scripting: tente evitar instruções SQL. Use funções parametrizadas em vez de concatenação de strings e evite a injeção de SQL colocando as funções SQL a serem utilizadas na lista de permissões.
-
Proteger o modelo de dados: use direitos nomeados para limitar ações do operador, adicionar filtros do sistema (sysFilter)
-
Adicionar captchas em aplicativos da Web: adicione captchas em suas páginas de aterrissagem e páginas de assinatura públicas.
Saiba mais na documentação do Adobe Campaign Classic v7.