Vous consultez actuellement l'aide de la version:

La sécurité des applications débute lors de la phase de développement. Adobe recommande d’appliquer les méthodes de sécurité suivantes.

Utilisation de la session de requête

Suivant le principe de moindre privilège, Adobe recommande d’effectuer chaque accès au répertoire en utilisant la session liée à la requête de l’utilisateur et au contrôle d’accès approprié.

Protection contre les scripts de site à site (XSS)

Les scripts de site à site (XSS) permettent aux pirates d’injecter du code dans des pages web consultées par d’autres utilisateurs. Cette faille de sécurité peut être exploitée par des internautes malveillants pour contourner les contrôles d’accès.

AEM applique le principe de filtrage de l’ensemble du contenu fourni par l’utilisateur lors de la sortie. La prévention du script intersite (XSS) se voit accorder la priorité la plus élevée lors des phases de développement et de test.

Le mécanisme de protection XSS proposé par AEM est basé sur la Bibliothèque Java AntiSamy fournie par OWASP (The Open Web Application Security Project). La configuration AntiSamy par défaut est disponible à l’adresse suivante :

/libs/cq/xssprotection/config.xml

Il est important d’adapter cette configuration à vos besoins en termes de sécurité en superposant le fichier de configuration. Vous trouverez, dans la documentation officielle d’AntiSamy, toutes les informations nécessaires pour satisfaire vos exigences en matière de sécurité.

Remarque :

Il est vivement conseillé de toujours accéder à l’API de protection XSS en utilisant l’interface XSSAPI fournie par AEM.

En outre, un pare-feu d’application web, tel que mod_security pour Apache, peut fournir un contrôle centralisé fiable sur la sécurité de l’environnement de déploiement, ainsi qu’une protection contre les attaques XSS qui n’étaient pas détectées précédemment.

Accès aux informations de service cloud

Remarque :

Les listes de contrôles d’accès (ACL) relatives aux informations de service cloud, ainsi que les paramètres OSGi requis pour sécuriser votre instance sont automatisés dans le cadre du mode Prêt pour la production. Cela signifie que vous ne devez pas apporter de modifications manuelles à la configuration. Cependant, il est conseillé de les passer en revue avant le déploiement proprement dit.

Lorsque vous intégrez votre instance AEM dans Adobe Marketing Cloud, vous utilisez des configurations de service cloud. Les informations relatives à ces configurations, ainsi que les éventuelles statistiques collectées, sont stockées dans le référentiel. Si vous utilisez cette fonctionnalité, il est recommandé de vérifier si le niveau de sécurité par défaut relatif à ces informations répond à vos besoins.

Le module webservicesupport enregistre des statistiques et des informations de configuration sous :

/etc/cloudservices

Avec les autorisations par défaut :

  • Environnement de création : read pour contributors
  • Environnement de publication : read pour everyone

Protection contre les attaques par falsification de requête intersite

Pour plus d’informations sur les mécanismes de sécurité mis en œuvre par AEM pour limiter l’impact des attaques CSRF, reportez-vous à la section Sling Referrer Filter de la liste de contrôle de sécurité et à la documentation de l’infrastructure de protection CSRF.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne