Sie sehen sich Hilfeinhalte der folgenden Version an:

Anwendungssicherheit beginnt während der Entwicklung. Adobe empfiehlt die folgenden Best Practices, um die Sicherheit zu verbessern.

Verwenden Sie Sitzungsanfragen

Gemäß des Prinzips der geringsten Rechte empfiehlt Adobe, dass jeder Repository-Zugriff mit der an die Nutzeranfrage gebundene Sitzung sowie mit korrekter Zugriffssteuerung durchgeführt wird.

Schützen Sie sich vor Cross-Site Scripting (XSS)

Mit Cross-Site Scripting (XSS) können Angreifer Code in Webseiten einfügen, die von anderen Benutzern aufgerufen werden. Diese Sicherheitslücke kann von böswilligen Nutzern ausgenutzt werden, um die Zugriffssteuerung zu umgehen.

AEM filtert prinzipiell sämtliche vom Benutzer bereitgestellten Inhalte bei der Ausgabe. Bei Entwicklung und Tests hat das Vermeiden von XSS höchste Priorität.

Der XSS-Schutzmechanismus, der von AEM bereitgestellt wird, basiert auf der AntiSamy Java Library von OWASP (Open Web Application Security Project). Die standardmäßige AntiSamy-Konfiguration ist unter

/libs/cq/xssprotection/config.xml
zu finden.
Sie sollten diese Konfiguration an Ihre eigenen Sicherheitsbedürfnisse anpassen, indem Sie die Konfigurationsdatei überschreiben. Die offizielle AntiSamy-Dokumentation bietet alle notwendigen Informationen, um Ihre Sicherheitsanforderungen zu implementieren.

Hinweis:

Wir empfehlen Ihnen dringend, immer mit der von AEM bereitgestellten XSSAPI auf die XSS-Schutz-API zuzugreifen.

Außerdem kann eine Webanwendungs-Firewall wie mod_security für Apache zuverlässige zentrale Kontrolle über die Sicherheit der Bereitstellungsumgebung bieten und Sie gegen zuvor unerkannte Cross-Site-Scripting-Angriffe schützen.

Zugriff auf Cloud-Service-Informationen

Hinweis:

ACLs für die Cloud-Service-Information sowie die OSGi-Einstellungen, die zum Sichern Ihrer Instanz erforderlich sind, sind im produktionsbereiten Modus automatisiert. Das bedeutet, dass Sie die Konfigurationsänderungen nicht manuell vornehmen müssen. Sie sollten sie dennoch überprüfen, bevor Sie Ihre Bereitstellung live schalten.

Wenn Sie Ihre AEM-Instanz mit Adobe Marketing Cloud integrieren, verwenden Sie die Cloud-Service-Konfigurationen. Informationen über diese Konfigurationen sowie sämtliche erfassten Statistiken werden im Repository gespeichert. Wenn Sie diese Funktion verwenden, empfehlen wir Ihnen, zu überprüfen, ob die Standard-Sicherheitseinstellungen für diese Daten Ihren Anforderungen entsprechen.

Das webservicesupport-Modul schreibt Statistiken und Konfigurationsinformationen unter:

/etc/cloudservices

Mit den Standardberechtigungen:

  • Autorenumgebung: Leseberechtigung für Mitarbeiter
  • Veröffentlichungsumgebung: Leseberechtigung für alle

Schützen Sie sich vor Cross-Site Request Forgery-Angriffen

Im Sling Referrer Filter-Abschnitt der Sicherheits-Checkliste und in der Dokumentation zum CSRF-Schutz-Framework finden Sie ausführliche Informationen zu den Sicherheitsmechanismen, die AEM nutzt, um CSRF-Angriffe abzuwehren.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie