Anwendungen vor Angriffen schützen

IBM® Connections beinhaltet Sicherheitsmaßnahmen, wie z. B. einen Filter für aktive Inhalte und Inhaltsuploadbegrenzungen, mit denen Sie das Risiko von Angriffen begrenzen können. Da durch diese Sicherheitsmaßnahmen auch die Flexibilität der Anwendungen eingeschränkt werden kann, müssen Sie als Administrator die Sicherheit Ihres Netzes einschätzen und abwägen, ob Sie diese Maßnahmen implementieren müssen oder nicht.

Jede Software, die von Benutzern verfassten Inhalt anzeigt, ist anfällig für XSS-Angriffe (Cross-Site Scripting - standortübergreifende Scripterstellung). Nichtberechtigte können JavaScript in den Inhalt einführen, was unter anderem dazu führen kann, dass eine Benutzersitzung gestohlen wird. Das Stehlen von Sitzungen in einer SSO-Umgebung (Single Sign-on - Einzelanmeldung) ist eine Herausforderung, weil die Anfälligkeit für XSS-Angriffe eine Anfälligkeit der gesamten SSO-Domäne mit sich bringt.

Eine Möglichkeit, die IBM Connections als Schutz gegen diese Art von Angriffen bereitstellt, ist das Implementieren eines Filters für aktive Inhalte. Der Filter für aktive Inhalte entfernt potenziell gefährlichen Textinhalt wie JavaScript aus der Benutzereingabe, die zu einem Beitrag hinzugefügt wird, bevor dieser Beitrag in einer Anwendung gespeichert wird. Dateianhänge werden nicht gefiltert. Sie können den Filter für aktive Inhalte inaktivieren, wenn Sie feststellen, dass Ihr Netz vor Angriffen geschützt ist. Sie können den gefilterten Inhalt auch je nach Anwendung ändern, indem Sie die Konfigurationseigenschaften bearbeiten.

Hinweise

Während das Schützen von IBM Connections vor Angriffen die Anfälligkeit für XSS-Angriffe begrenzt, wird auch der Handlungsspielraum vertrauenswürdiger Benutzer eingeschränkt. So wird beispielsweise die Möglichkeit zum Hinzufügen von dynamischen JavaScript-Inhalten zu einem Blog entfernt. Bei der Entscheidung, welche Sicherheitsmaßnahmen Sie implementieren, sollten Sie folgende Bereiche berücksichtigen:

Textbasierte Felder: Wenn der Filter für aktive Inhalte aktiviert ist, können Benutzer in textbasierten Feldern bestimmte Inhalte nicht eingeben. Das Produkt wird mit einer Reihe von Konfigurationsdateien für den Filter für aktive Inhalte bereitgestellt, in denen festgelegt ist, welche Art Inhalt zulässig bzw. nicht zulässig ist. Die vom Produkt standardmäßig verwendeten Konfigurationsdateien ermöglichen es den Benutzern, in den einzelnen Anwendungen Stile zu bearbeiten und zu Einträgen Formulare hinzuzufügen. Zudem kann in den Anwendungen "Blogs" und "Wikis" Flash-Inhalt zu Einträgen hinzugefügt werden. Sie können die Standardfiltereinstellungen verwenden oder andere Einstellungen festlegen. Weitere Informationen finden Sie im Abschnitt Filter für aktive Inhalte konfigurieren.
Dateiuploads: Mithilfe der Anwendungen "Aktivitäten", "Blogs", "Dateien", "Foren" und "Wikis" können Benutzer Dateien (einschließlich JavaScript und HTML) hochladen. Es kann nicht sichergestellt werden, dass diese Dateien keinen zerstörerischen Programmcode für standortübergreifende Scriptingangriffe enthalten, und der Filter für aktive Inhalte wird beim Herunterladen dieses Inhalts auch nicht verwendet. Um die Auswirkungen von zerstörerischen Programmcodes zu begrenzen, sollten Sie IBM Connections so konfigurieren, dass Dateien in einer separaten Domäne heruntergeladen werden. Dadurch muss der heruntergeladene Inhalt isoliert ausgeführt werden. Er kann so nicht auf Daten zugreifen, die einer authentifizierten Sitzung zugeordnet sind. Weitere Informationen finden Sie im Abschnitt Separate Domäne für den Dateidownload festlegen.
Benutzerdefinierte Vorlagen: Die Anwendung "Blogs" unterstützt die Verwendung von benutzerdefinierten Vorlagen, mit denen der Blogeigentümer die Darstellung des Blogs ändern kann. Eine benutzerdefinierte Vorlagenseite wird nicht vom Filter für aktive Inhalte gefiltert. Das Zulassen der Verwendung benutzerdefinierter Vorlagen führt zu einer Anfälligkeit für XSS-Angriffe.

Filter für aktive Inhalte für die Anwendungen "Blogs", "Wikis" und "Foren" konfigurieren
IBM Connections stellt eine Reihe von Filtern für aktive Inhalte (ACF) bereit, die Sie auf die Anwendungen "Blogs", "Wikis" und "Foren" anwenden können, um die Inhaltstypen, die Benutzer zu ihren Blogbeiträgen, Wiki-Seiten und Forenbeiträgen hinzufügen können, zu begrenzen oder zu erweitern.
Filter für aktive Inhalte für die Anwendungen "Aktivitäten", "Communitys" und "Lesezeichen" konfigurieren
IBM Connections stellt eine Reihe von Konfigurationsdateien für Filter für aktive Inhalte (ACF) bereit, die Sie auf die Anwendungen "Aktivitäten", "Communitys" oder "Lesezeichen" anwenden können, um die Inhaltstypen, die Benutzer zu ihren Einträgen hinzufügen können, zu begrenzen oder zu erweitern.
Risiko von Cross-Site Scripting vermindern
Wenn Sie das Netz als so sicher einschätzen, dass der Filter für aktive Inhalte inaktiviert werden kann, können Sie eine der in diesem Thema beschriebenen Konfigurationsoptionen verwenden, um das Risiko bei einem eventuellen Angriff zu vermindern.
Filter für aktive Inhalte inaktivieren
Inaktivieren Sie den Filter für aktive Inhalte nur, wenn Sie das Netz auf andere Weise gegen XSS-Angriffe (XSS - Cross Site Scripting) geschützt haben.

Übergeordnetes Thema: Sicherheit

Zugehörige Tasks:

Benutzer vor zerstörerischem aktivem Inhalt schützen

Benachrichtigung für defekte Links verwalten

Separate Domäne für den Dateidownload festlegen

Zugehörige Verweise:

Konfigurationseigenschaften in der Anwendung "Communitys"

Konfigurationseigenschaften in der Anwendung "Aktivitäten"

Konfigurationseigenschaften in der Anwendung "Foren"