現在表示中:

アプリケーションのセキュリティは、開発フェーズから始まります。アドビでは、次のセキュリティベストプラクティスを実施することをお勧めします。

リクエストセッションの使用

最小特権の原則に従って、アドビでは、リポジトリへのすべてのアクセスを、ユーザー要求と適切なアクセス制御にバインドされたセッションを使用しておこなうことをお勧めします。

クロスサイトスクリプティング(XSS)に対する保護

クロスサイトスクリプティング(XSS)を利用することにより、攻撃者は他のユーザーが表示する Web ページにコードを埋め込むことができます。このセキュリティ脆弱性が悪意のある Web ユーザーに悪用され、アクセス制御が擦り抜けられる可能性があります。

AEM では、ユーザーが提供するコンテンツをすべて出力時にフィルタリングする原則を適用しています。XSS を回避することは、開発時にもテスト時にも第一優先となります。

AEM が提供する XSS 対策メカニズムは、OWASP(The Open Web Application Security Project)が提供する AntiSamy Java ライブラリに基づいています。デフォルトの AntiSamy 設定は次の場所にあります。

/libs/cq/xssprotection/config.xml

個々のセキュリティのニーズに合わせてこの設定を変更することが重要です。そのためには、この設定ファイルをオーバーレイします。公式の AntiSamy のドキュメントには、セキュリティ要件を実装するために必要なすべての情報が記載されています。

注意:

XSS 対策 API にアクセスする場合は、AEM が提供する XSSAPI を常に使用することを強くお勧めします。

また、Apache 対応の mod_security などの Web アプリケーションファイアウォールを使用すると、デプロイメント環境のセキュリティを高い信頼性で一元的に制御でき、以前は検出されなかったクロスサイトスクリプティング攻撃に対する保護も可能です。

クラウドサービス情報へのアクセス

注意:

インスタンスの保護に必要なクラウドサービス情報用の ACL と OSGi 設定は、実稼動準備モードの一部として自動化されます。つまり、設定の変更を手動でおこなう必要はありませんが、デプロイメントの運用を開始する前に変更を確認しておくことをお勧めします。

AEM インスタンスを Adobe Marketing Cloud と統合する場合は、クラウドサービス設定を使用します。これらの設定に関する情報は、収集された統計と共にリポジトリに格納されます。この機能を使用する場合は、この情報に適用されるデフォルトのセキュリティが要件に対応しているかどうかを確認することをお勧めします。

webservicesupport モジュールは、統計と設定情報を次の場所に書き込みます。

/etc/cloudservices

デフォルトの権限では、次の処理が可能です。

  • オーサー環境:contributors による read
  • パブリッシュ環境:everyone による read

クロスサイトリクエストフォージェリ攻撃からの保護

CSRF 攻撃を軽減するために AEM で採用されているセキュリティメカニズムについて詳しくは、セキュリティチェックリストの Sling Referrer Filter および CSRF 対策フレームワークのドキュメントを参照してください。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー