Čitajte na engleskom Uređivanje

Dijeli putem


Najčešća pitanja za sigurnost platforme Power Pages

Kako Power Pages pomaže u zaštiti od clickjackinga?

Clickjacking koristi ugrađene iFrame ili druge komponente za otimanje korisnikove interakcije s web-stranicom.
Power Pages pruža postavke web-mjesta HTTP/X-Frame-Options sa zadanim SAMEORIGIN za zaštitu od napada otmice klikova.

Više informacija: Postavljanje zaglavlja HTTP na platformi Power Pages

Podržava li Power Pages Politiku sigurnosti sadržaja?

Platforma Power Pages pravilnik za sigurnost sadržaja. Preporučuje se opsežno testiranje nakon omogućavanja CSP-a na Power Pages web-mjestima.

Dodatne informacije: Upravljanje pravilima sigurnosti sadržaja web-mjesta

Podržava li platforma Power Pages politiku sigurnosti HTTP Strict Transport?

Prema zadanim Power Pages postavkama, podržava HTTP na HTTPS preusmjeravanja. Ako je označen zastavicom, provjerite blokira li se zahtjev na razini usluge aplikacije. Ako zahtjev nije uspješan (šifra odgovora >= 400), lažno je pozitivan.

Zašto alati za penetracijske testove otkrivaju/prijavljuju kolačiće bez oznake HTTPOnly/SameSite?

Platforma Power Pages postavlja oznake HTTPOnly/SameSite za svaki kritični kolačić. Postoje neki nekritični kolačići za koje se oznaka HTTPOnly/SameSite ne postavlja i oni se ne bi trebali smatrati ranjivošću.

Dodatne informacije: Kolačići na platformi Power Pages

Moje izvješće o testiranju olovke označava kraj života / zastarjeli softver - Bootstrap 3. Što da učinim?

Na Bootstrapu 3 nema poznatih ranjivosti; međutim, svoju web-lokaciju možete migrirati na Bootstrap 5.

Koje šifre platforma Power Pages podržava? Koji je putokaz neprekidnog kretanja prema jačim šiframa?

Sve Microsoftove usluge i proizvodi konfigurirani su za korištenje odobrenih paketa šifri, točnim redoslijedom prema uputama Microsoft Crypto Boarda.

Za potpuni popis i točan redoslijed pogledajte Power Platform dokumentaciju.

Informacije o zastarjelim paketima šifri priopćuju se putem dokumentacije o važnim promjenama platforme Power Platform.

Zašto Power Pages još uvijek podržava RSA-CBC šifre (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) i TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), koje se smatraju slabijima?

Microsoft procjenjuje relativni rizik i poremećaj u radu klijenta pri odabiru paketa šifri za podršku. RSA-CBC paketi šifri još nisu provaljeni. Omogućili smo ih kako bismo pružili dosljednost u našim uslugama i proizvodima te da podržimo sve korisničke konfiguracije. Međutim, na dnu su popisa prioriteta.

Šifre uklanjamo na temelju stalnih procjena odbora Microsoft Crypto Board.

Više informacija: Koje pakete šifri TLS 1.2 platforma Power Pages podržava?

Power Pages Kako štiti od napada distribuiranog uskraćivanja usluge (DDoS)?

Platforma Power Pages izrađena je na servisu Microsoft Azure i koristi Azure DDoS Protection za zaštitu od DDoS napada. Također, omogućavanje OOB / AFD / WAF treće strane može dodati više zaštite na web mjestu.

Dodatne informacije:

Moje izvješće o penetracijskom testiranju javlja ranjivost u uređivaču CKEditor. Kako mogu ublažiti ovu ranjivost?

RTE PCF kontrola uskoro zamjenjuje CKEditor. Ako želite ublažiti ovaj problem prije izdavanja RTE PCF kontrole, onemogućite CKEditor konfiguriranjem postavki web-mjesta DisableCkEditorBundle = true. Tekstualno polje zamjenjuje CKEditor nakon što se onemogući.

Kako mogu zaštititi svoju web stranicu od XSS napada?

Preporučujemo izvođenje HTML kodiranja prije prikazivanja podataka iz nepouzdanog izvora.

Više informacija: Dostupni filtri za kodiranje.

Kako mogu zaštititi svoju web stranicu od napada injekcija?

Prema zadanim postavkama, značajka provjere valjanosti zahtjeva ASP.Net omogućena je na Power Pages obrascima kako bi se spriječili napadi ubrizgavanjem skripti. Ako stvarate vlastiti obrazac pomoću API-ja, Power Pages uključuje nekoliko mjera za sprječavanje napada injekcija.

  • Osigurajte pravilnu HTML sanitaciju prilikom rukovanja korisničkim unosom iz obrasca ili bilo koje kontrole podataka koja koristi Web API.
  • Implementirajte ulaznu i izlaznu sanitaciju za sve ulazne i izlazne podatke prije nego što ih prikažete na stranici. To uključuje podatke koji se dohvaćaju putem tekućine/WebAPI-ja ili umeću/ažuriraju u Dataverse te kanale.
  • Ako su prije umetanja ili ažuriranja podataka obrasca potrebne posebne provjere, možete napisati dodatke koji se izvršavaju za provjeru valjanosti podataka na strani poslužitelja.

Više informacija: Power Pages sigurnosna bijela knjiga.