Linha RM

Atalhos

Páginas filhas
  • 5- Aumentar o nível de segurança do portal

Versões comparadas

Versão antiga 4

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Marcos Vinicius Miranda de Souza Lima

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

O portal do professor, permite que a instituição realize a configuração do headers da forma que desejar. Para saber mais acesse: Aumentar a segurança do portal


01.VISÃO GERAL

O objetivo desta documentação é auxiliar os nossos clientes na parametrização para aumentar o nível de segurança do portal do professor. Através de Pentest realizado internamente, chegamos em uma orientação que deve ser seguida para aumentar o nível de segurança do ambiente exposto na internet.


02.CONFIGURAÇÕES 


Aviso
titleConfigurações do headers do portal do professor

Para realizar as configurações do headers abaixo será necessário acessar o arquivo web.config da pasta FrameHTML\Web\App\Edu\PortalDoProfessor

...

Aviso

Todas as informações sugeridas foram checadas e testadas em um ambiente controlado com o apoio do nosso time de segurança e com resultados de Pentests executados internamente ou externamente pelos nossos clientes. No entanto, é recomendado que as configurações sejam realizadas inicialmente em um ambiente de homologação, devido à variedade e complexidade das configurações e especificidades dos servidores de cada cliente.

AtributoValores possíveisDescriçãoReferência
Content Security Policy (CSP)

default-src

script-src

style-src

img-src

font-src

frame-src

frame-ancestors 

A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN
Bloco de código
titleSugestão de configuração
   <httpProtocol>
      <customHeaders>
	 	<remove name="Content-Security-Policy" />
        <add name="Content-Security-Policy" value=
              " default-src 'self' blob: data: gap:; 
				font-src 'self' data: https://fonts.gstatic.com; 
				img-src 'self' data:; 
				script-src 'report-sample' 'self' 'unsafe-inline' 'unsafe-eval'; 
				style-src 'report-sample' 'self' 'unsafe-inline';           
			  "/>
   </customHeaders>
 </httpProtocol>
Aviso
A tag "<remove name="Content-Security-Policy" />", deve ser incluída obrigatóriamente caso a instituição deseja customomizar o atributo "Content Security Policy (CSP)".
 Informações
titleAtributos obrigatórios
Os atributos abaixo são obrigatórios devido a exigência do funcionamento da aplicação nas diretivas relacionadas
  •  'unsafe-inline': script-src e style-src
  • 'unsafe-eval': script-src
 Aviso
Todas as customizações do cliente, seja ela de exemplo imagens, fontes, url, etcentre outros, devem ser incluídas dentro do no atributo "Content Security Policy (CSP)", pois são necessáriopara o funcionamento da aplicação.
...