Ler em inglês Editar

Partilhar via


FAQ sobre a segurança do Power Pages

Como é que o Power Pages ajuda a proteger contra clickjacking?

Clickjacking utiliza iFrames ou outros componentes, para sequestrar as interações de um utilizador com uma página Web.
O Power Pages fornece definições de site HTTP/X-Frame-Options com SAMEORIGIN padrão para proteger contra ataques de clickjacking.

Mais informações: Configurar cabeçalhos HTTP no Power Pages

O Power Pages suporta a Política de Segurança de Conteúdo?

O Power Pages suporta a Política de Segurança de Conteúdo (CSP). São recomendados testes extensos após a ativação da CSP em sites do Power Pages.

Mais informações: Gerir a Política de Segurança de Conteúdo do seu site

O Power Pages suporta a Política de Segurança de Transporte Estrita HTTP?

Por predefinição, o Power Pages suporta HTTP e HTTPS para redirecionamentos. Se sinalizado, verifique se o pedido está a ser bloqueado ao Nível de Serviço de Aplicações. Se não for um pedido bem-sucedido (código de resposta >= 400), é um falso positivo.

Porque é que os cookies sem sinalizadores HTTPOnly/SameSite são detetados/reportados por ferramentas de teste de penetração?

O Power Pages define as sinalizações HTTPOnly/SameSite para cada cookie crítico. Existem alguns cookies não críticos para os quais o HTTPOnly/SameSite não está definido e estes não devem ser considerados como vulnerabilidade.

Mais informações: Cookies no Power Pages

O meu relatório do Teste de Penetração está a sinalizar Software em Fim de Vida/Obsoleto — Bootstrap 3. O que devo fazer?

Não existem vulnerabilidades conhecidas no Bootstrap 3; no entanto, pode migrar o site para o Bootstrap 5.

Que cifras são suportadas pelo Power Pages? Qual é o mapa de objetivos de avançar continuamente para cifras mais fortes?

Todos os serviços e produtos da Microsoft estão configurados para utilizar os conjuntos de cifras aprovados, na ordem exata indicada pela Microsoft Crypto Board.

Para obter a lista completa e a ordem exata, consulte a Documentação do Power Platform.

As informações relacionadas com preterimentos de conjuntos de cifras são comunicadas através da documentação Alterações Importantes do Power Platform.

Por que razão o Power Pages ainda suporta cifras RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) e TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) que são consideradas mais fracas?

A Microsoft pondera o risco relativo e a perturbação às operações do cliente na escolha dos conjuntos de cifras a suportar. Os conjuntos de cifras RSA-CBC ainda não foram quebrados. Ativámo-los para garantir consistência em todos os nossos serviços e produtos, e para suportar todas as configurações do cliente; no entanto, estão no final da lista de prioridades.

Preterimos cifras com base na avaliação contínua do Crypto Board da Microsoft.

Mais informações: Quais os conjuntos de cifras TLS 1.2 suportados pelo Power Pages?

Como é que o Power Pages protege contra ataques DDoS, Denial of Service Distribuído (DDoS)?

O Power Pages foi criado no Microsoft Azure e utiliza o Azure DDoS Protection para proteger contra ataques DDoS. Além disso, a ativação de OOB/AFD de terceiros/WAF pode adicionar mais proteção ao site.

Mais informações:

O meu relatório de Teste de penetração está a sinalizar vulnerabilidade no CKEditor. Como mitigo esta vulnerabilidade?

O controlo PCF RTE substitui o CKEditor em breve. Se pretender mitigar este problema antes do lançamento do controlo PCF RTE , desative o CKEditor configurando a definição do site DisableCkEditorBundle = verdadeiro. Um campo de texto substituirá CKEditor depois de ser desativado.

Como protejo o meu site contra ataques XSS?

Recomendamos que efetue a codificação HTML antes de compor dados de uma origem não fidedigna.

Mais informações: Filtros de codificação disponíveis.

Como protejo o meu site contra ataques de injeção?

Por predefinição, a caraterística ASP.Net pedir validação está ativada nos formulários do Power Pages para evitar ataques de injeção de script. Se estiver a criar o seu próprio formulário através da API, o Power Pages incorpora diversas medidas para evitar ataques de injeção.

  • Garanta a limpeza adequada de HTML ao lidar com a entrada de utilizador num formulário ou qualquer controlo de dados que utilize a API da Web.
  • Implemente a limpeza de entrada e saída para todos os dados de entrada e saída antes de os compor na página. Isto inclui dados obtidos via Liquid/WebAPI ou inseridos/atualizados no Dataverse através desses canais.
  • Se forem necessárias verificações especiais antes de introduzir ou atualizar os dados do formulário, pode escrever plug-ins que são executados para validar os dados no lado do servidor.

Mais informações: Documento técnico de segurança do Power Pages.