Čítať v angličtine Upraviť

Zdieľať cez


Najčastejšie otázky týkajúce sa zabezpečenia služby Power Pages

Ako Power Pages pomáha chrániť sa pred clickjackingom?

Clickjacking používa vložené prvky iFrame alebo iné komponenty na zneužitie interakcií používateľa s webovou stránkou.
Power Pages poskytuje nastavenia lokality HTTP/X-Frame-Options s predvoleným SAMEORIGINom na ochranu pred útokmi typu clickjacking.

Ďalšie informácie: Nastavenie hlavičiek HTTP na lokalitách Power Pages

Podporuje Power Pages zásady zabezpečenia obsahu?

Power Pages podporuje Politiku zabezpečenia obsahu (CSP). Po povolení CSP na webových lokalitách Power Pages sa odporúča rozsiahle testovanie.

Ďalšie informácie: Spravujte pravidlá zabezpečenia obsahu svojej lokality

Podporuje Power Pages zásady HTTP Strict Transport Security?

V predvolenom nastavení Power Pages podporuje presmerovanie HTTP na HTTPS. Ak je označený, overte, či sa požiadavka blokuje na úrovni služieb aplikácie. Ak žiadosť nie je úspešná (kód odpovede >= 400), ide o nesprávne pozitívny výsledok.

Power Pages nastavuje príznaky HTTPOnly/SameSite pre každý kritický súbor cookie. Existujú niektoré nekritické súbory cookie, pre ktoré nie je nastavený protokol HTTPOnly/SameSite, a nemali by sa považovať za chybu zabezpečenia.

Ďalšie informácie: Súbory Cookie v Power Pages

Testovacia správa môjho pera signalizuje koniec životnosti/zastaraný softvér – Bootstrap 3. Čo s tým mám robiť?

Na Bootstrap 3 nie sú známe žiadne zraniteľné miesta; môžete však migrovať svoje stránky na Bootstrap 5.

Aké šifry podporuje platforma Power Pages? Aký je plán neustáleho smerovania k silnejším šifrám?

Všetky služby a produkty spoločnosti Microsoft sú nakonfigurované na používanie schválených šifrovacích balíkov v presnom poradí podľa pokynov rady Microsoft Crypto Board.

Úplný zoznam a presné poradie nájdete v dokumentácii k Power Platform.

Informácie o ukončení podpory šifrovacích súprav sa oznamujú prostredníctvom dokumentácie Power Platform o dôležitých zmenách.

Prečo Power Pages ešte stále podporuje šifry RSA-CBC (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) a TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), ktoré sa považujú za slabšie?

Microsoft zvažuje relatívne riziko a narušenie zákazníckych operácií pri výbere šifrovacích balíkov, ktoré bude podporovať. Šifrovacie súpravy RSA-CBC ešte neboli prelomené. Povolili sme ich, aby sme zabezpečili konzistentnosť našich služieb a produktov a podporili všetky konfigurácie zákazníkov; nie sú však hlavnou prioritou.

Na základe neustáleho hodnotenia rady Microsoft Crypto Board prestávame šifry podporovať.

Ďalšie informácie: Ktoré šifrovacie sady TLS 1.2 sú podporované Power Pages?

Ako Power Pages chráni pred útokmi Distributed Denial of Service (DDoS)?

Platforma Power Pages je postavená na Microsoft Azure a používa Azure DDoS Protection na ochranu pred DDoS útokmi. Povolenie OOB / AFD / WAF tretej strany môže pridať väčšiu ochranu na stránke.

Ďalšie informácie:

Testovacia zostava My Pen označuje zraniteľnosť v CKEditor. Ako môžem zmierniť túto zraniteľnosť?

Riadenie RTE PCF čoskoro nahradí CKEditor. Ak chcete tento problém zmierniť pred vydaním ovládacieho prvku RTE PCF, vypnite CKEditor konfiguráciou nastavenia lokality DisableCkEditorBundle = true. Po zakázaní CKEditor nahradí textové pole.

Ako ochránim svoj web pred XSS útokmi?

Pred vykreslením údajov z nedôveryhodného zdroja odporúčame vykonať kódovanie HTML.

Ďalšie informácie: Dostupné filtre kódovania.

Ako ochránim svoje stránky pred útokmi injekcie?

V predvolenom nastavení je vo formulároch povolená funkcia ASP.Net overenie žiadosti Power Pages , aby sa predišlo útokom vloženým skriptom. Ak vytvárate svoj vlastný formulár pomocou rozhrania API, Power Pages zahŕňa niekoľko opatrení na zabránenie injekčným útokom.

  • Zabezpečte správnu dezinfekciu HTML pri manipulácii s užívateľským vstupom z formulára alebo akéhokoľvek ovládacieho prvku údajov, ktorý využíva webové rozhranie API.
  • Implementujte vstupnú a výstupnú dezinfekciu všetkých vstupných a výstupných údajov pred ich vykreslením na stránke. To zahŕňa údaje načítané cez liquid/WebAPI alebo vložené/aktualizované do Dataverse prostredníctvom týchto kanálov.
  • Ak sú potrebné špeciálne kontroly pred vložením alebo aktualizáciou údajov formulára, môžete napísať doplnky, ktoré sa spustia na overenie údajov na strane servera.

Viac informácií: Power Pages biela kniha o bezpečnosti.