Linha RM

Atalhos

Páginas filhas
  • 5- Aumentar o nível de segurança do portal

Versões comparadas

Versão antiga 1

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

O portal do professor, permite que a instituição realize a configuração do headers da forma que desejar. Para saber mais acesse: Aumentar a segurança do portal


01.VISÃO GERAL

O objetivo desta documentação é auxiliar os nossos clientes na parametrização para aumentar o nível de segurança do portal do professor. Através de Pentest realizado internamente, chegamos em uma orientação que deve ser seguida para aumentar o nível de segurança do ambiente exposto na internet.


02.CONFIGURAÇÕES 


Aviso
titleConfigurações do headers do portal do professor

Para realizar as configurações do headers abaixo será necessário acessar o arquivo web.config da pasta FrameHTML\Web\App\Edu\PortalDoProfessor

Aviso

As configuração mencionadas abaixo são apenas uma sugestão de parametrização, pois dependerá da configuração do ambiente de cada cliente. 

Aviso

Todas as informações sugeridas foram checadas e testadas em um ambiente controlado com o apoio do nosso time de segurança e com resultados de Pentests executados internamente. No entanto, é recomendado que as configurações sejam realizadas inicialmente em um ambiente de homologação, devido à variedade e complexidade das configurações e especificidades dos servidores de cada cliente.

AtributoValores possíveisDescriçãoReferência
Content Security Policy (CSP)

default-src

script-src

*

style-src

img-src

font-src

frame-src

frame-ancestors 

A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN
Dicacode
titleSugestão de configuração
 <httpProtocol>
     <customHeaders>
       <add 
<httpProtocol>
  <customHeaders>
        <add name="Content-Security-Policy"
 
 value=

             " 

              " default-src 'self'
;
               script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.googletagmanager.com 
 blob: data: gap:; 
				font-src 'self' data: https://
code
fonts.
jquery
gstatic.com;

               style
 
				img-src 'self'
'unsafe-inline' https://stackpath.bootstrapcdn.com https://www.googletagmanager.com;
               img-src 'self' data: https://api.tiles.mapbox.com https://c.tile.openstreetmap.org https://a.tile.openstreetmap.org https://b.tile.openstreetmap.org https://api.qrserver.com https://chart.googleapis.com;
               connect-src 'self' data: https://api.tiles.mapbox.com https://api.qrserver.com https://chart.googleapis.com https://nominatim.openstreetmap.org;
               frame-ancestors 'self';
               object-src 'none';
               base-uri 'self';
         "/>
  </customHeaders>
</httpProtocol>
 data:; 
				script-src 'report-sample' 'self'; 
				style-src 'report-sample' 'self';           
			  "/>
   </customHeaders>
 </httpProtocol>
Informações
titleAtributos obrigatórios

Os atributos abaixo são obrigatórios devido a exigência do funcionamento da aplicação nas diretivas relacionadas

  • 'unsafe-inline': script-src e style-src
  • 'unsafe-eval': script-src
Aviso

Todas as customizações do cliente, exemplo imagens, fontes, url, entre outros, devem ser incluídas no atributo "Content Security Policy (CSP)", pois são necessáriopara o funcionamento da aplicação.

Informações

O elemento HttpProtocol deve ser incluído no nó <system.webServer>