DocumentaçãoAEM 6.5Guia do usuário

Segurança security

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Tópicos:

Criado para:

  • Desenvolvedor

A Segurança de aplicativos é iniciada durante a fase de desenvolvimento. O Adobe recomenda aplicar as seguintes práticas recomendadas de segurança.

Usar sessão de solicitação use-request-session

Seguindo o princípio de privilégio mínimo, o Adobe recomenda que todo acesso ao repositório seja feito usando a sessão vinculada à solicitação do usuário e o controle de acesso adequado.

Protect contra Scripts entre sites (XSS) protect-against-cross-site-scripting-xss

A criação de script entre sites (XSS) permite que invasores injetem código em páginas da Web visualizadas por outros usuários. Essa vulnerabilidade de segurança pode ser explorada por usuários mal-intencionados da Web para ignorar controles de acesso.

O AEM aplica o princípio de filtrar todo o conteúdo fornecido pelo usuário na saída. É dada a maior prioridade à prevenção de XSS durante o desenvolvimento e o teste.

O mecanismo de proteção XSS fornecido pelo AEM é baseado na Biblioteca AntiSamy Java™ fornecida pelo OWASP (The Open Web Application Security Project). A configuração padrão do AntiSamy pode ser encontrada em

/libs/cq/xssprotection/config.xml

É importante adaptar essa configuração às suas necessidades de segurança, sobrepondo o arquivo de configuração. A documentação oficial do AntiSamy fornece todas as informações necessárias para implementar seus requisitos de segurança.

NOTE
A Adobe recomenda que você sempre acesse a API de proteção XSS usando o XSSAPI fornecido pelo AEM.

Além disso, um firewall de aplicativo da Web, como o mod_security para Apache, pode fornecer controle central e confiável sobre a segurança do ambiente de implantação e proteger contra ataques de script entre sites não detectados anteriormente.

Acesso às informações do Cloud Service access-to-cloud-service-information

NOTE
As ACLs para as Informações de Cloud Service e as configurações de OSGi necessárias para proteger sua instância são automatizadas como parte do Modo Pronto para Produção. Embora isso signifique que não é necessário alterar a configuração manualmente, ainda é recomendável revisá-los antes de entrar em funcionamento com a implantação.

Ao integrar sua instância do AEM à Adobe Experience Cloud, você usa configurações de Cloud Service. As informações sobre essas configurações, juntamente com quaisquer estatísticas coletadas, são armazenadas no repositório. A Adobe recomenda que, se estiver usando essa funcionalidade, você verifique se a segurança padrão nessas informações corresponde aos seus requisitos.

O módulo webservicesupport grava estatísticas e informações de configuração em:

/etc/cloudservices

Com as permissões padrão:

  • Ambiente de autor: read para contributors

  • Ambiente do Publish: read para everyone

Protect contra ataques de falsificação de solicitação entre sites protect-against-cross-site-request-forgery-attacks

Para obter mais informações sobre os mecanismos de segurança que o AEM emprega para mitigar ataques CSRF, consulte a seção Filtro de referenciador do Sling da Lista de verificação de segurança e a documentação da Estrutura de proteção CSRF.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2