Linha RM

Atalhos

Páginas filhas
  • 5- Aumentar o nível de segurança do portal

Versões comparadas

Versão antiga 3

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

O portal do professor, permite que a instituição realize a configuração do headers da forma que desejar. Para saber mais acesse: Aumentar a segurança do portal


01.VISÃO GERAL

O objetivo desta documentação é auxiliar os nossos clientes na parametrização para aumentar o nível de segurança do portal do professor. Através de Pentest realizado internamente, chegamos em uma orientação que deve ser seguida para aumentar o nível de segurança do ambiente exposto na internet.


02.CONFIGURAÇÕES 


Aviso
titleConfigurações do headers do portal do professor

Para realizar as configurações do headers abaixo será necessário acessar o arquivo web.config da pasta FrameHTML\Web\App\Edu\PortalDoProfessor

Aviso

As configuração mencionadas abaixo são apenas uma sugestão de parametrização, pois dependerá da configuração do ambiente de cada cliente. 

Aviso

Todas as informações sugeridas foram checadas e testadas em um ambiente controlado com o apoio do nosso time de segurança e com resultados de Pentests executados internamente ou externamente pelos nossos clientes. No entanto, é recomendado que as configurações sejam realizadas inicialmente em um ambiente de homologação, devido à variedade e complexidade das configurações e especificidades dos servidores de cada cliente.

AtributoValores possíveisDescriçãoReferência
Content Security Policy (CSP)

default-src

script-src

*

style-src

img-src

font-src

frame-src

frame-ancestors 

A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN
Bloco de código
titleSugestão de configuração
   <httpProtocol>
      <customHeaders>
        <add name="Content-Security-Policy" value=
              " default-src 'self' blob: data: gap:; 
				font-src 'self' data: https://fonts.gstatic.com; 
				img-src 'self' data:; 
				script-src 'report-sample' 'self' 'unsafe-inline' 'unsafe-eval'; 
				style-src 'report-sample' 'self' 'unsafe-inline';           
			  "/>
   </customHeaders>
 </httpProtocol>

...

Aviso

Todas as customizações do cliente, seja ela de exemplo imagens, fontes, url, etcentre outros, devem ser incluídas dentro do no atributo "Content Security Policy (CSP)", pois são necessáriopara o funcionamento da aplicação.

...