¿Qué es? Política de seguridad de contenido (CSP) es un mecanismo para agregar seguridad adicional a los sitios web para eliminar varios tipos de ataques. Funciona agregando un encabezado al tráfico web desde el servidor de origen que indica cómo debe funcionar el servidor. Esto significa que todas las páginas cargadas desde el sitio están protegidas por esta configuración. Existe una amplia gama de opciones de CSP en función de las necesidades de un sitio en particular. D2L ha adoptado algunos tipos de opciones de CSP que se describen a continuación para resolver posibles problemas específicos. Es posible que se adopten otras opciones a medida que surjan necesidades futuras. CSP puede informar sobre posibles infracciones incluso cuando no se aplican las directivas, así como informar sobre infracciones cuando se aplica la directiva. Lo que significa que D2L tiene visibilidad sobre cuándo y cuántos intentos se realizan que infringen la configuración elegida. Bloqueo de iframe El Directiva de CSP de Frame-Ancestors se utiliza para bloquear la capacidad de algunos sitios web de IFrame el sitio de origen, en este caso Brightspace. Esto se utiliza para evitar ataques de secuestro de clics, así como para proporcionar una mejor experiencia de usuario. D2L utiliza esta directiva de CSP en la página de inicio de sesión actualmente, con planes para agregarla más adelante en todo el sitio. Tenga en cuenta que la política de todo el sitio no debe usarse actualmente, ya que causa interrupciones conocidas con herramientas como Lecciones. El bloqueo de IFrame en todo el sitio se lanzará por completo más adelante. Bloqueo de ejecución de SVG El Directiva de CSP de espacio aislado se utiliza para bloquear la ejecución de JavaScript dentro de un archivo SVG. Esto se utiliza para evitar ataques de phishing o ingeniería social para obtener información del usuario. D2L utiliza la política de espacio aislado sin permitir que los scripts impidan la ejecución de JavaScript dentro de los archivos SVG. Esta directiva de CSP solo se agrega al encabezado de las páginas SVG cuando se representa. Los archivos SVG se seguirán cargando, pero no podrán ejecutar código. ¿A quién afecta? Todos los clientes nuevos y existentes tendrán estas protecciones habilitadas en la versión de agosto. Los clientes que utilizan la administración de páginas de inicio de sesión (LPM) pueden administrar sus configuraciones dentro del explorador de variables de configuración. Los clientes que utilicen páginas ASP personalizadas o páginas de inicio de sesión alojadas personalizadas no podrán deshabilitar ni modificar su propia configuración. Los clientes que utilizan estas páginas personalizadas utilizan la configuración del lado del servidor que se aplica a todos los clientes que utilizan estas páginas personalizadas, por lo que no es posible realizar modificaciones individuales. Si un cliente necesita una configuración personalizada, deberá dejar de usar su página de inicio de sesión personalizada. Hay algunas exenciones genéricas que se han aplicado a todos los clientes, independientemente del tipo de página de inicio de sesión.En el caso de los clientes que utilizan la administración de páginas de inicio de sesión, hay algunos clientes conocidos con IFraming que necesitan una investigación más detallada/posibles cambios en el cliente. Estas instancias estarán exentas del cambio en agosto. D2L se pondrá en contacto con los clientes afectados para discutir más a fondo. Los clientes LPM pueden agregar exenciones de URL para sí mismos según sea necesario (consulte la sección a continuación sobre la configuración del cliente). Muchos de los intentos de IFraming que se producen son clientes que cambian de un lado a otro entre sus URL principales y no principales. El uso de la URL no principal puede hacer que muchas herramientas se rompan y debe evitarse. ¿Por qué estamos haciendo esto? Bloqueo de IFrame El encuadre de Brightspace afecta la experiencia del usuario y la accesibilidad de Brightspace, además de permitir posibles ataques que disminuyen la seguridad del sitio. El principal problema de seguridad que esto disminuye es la capacidad de Secuestro de clics que se produzcan ataques. Desde el punto de vista del usuario, Brightspace se creó para ser una aplicación de nivel superior y muchos componentes no funcionan o no funcionan bien si se utilizan IFram. Brightspace se creó para responder al tamaño del dispositivo, pero al IFraming dentro de una ventana más pequeña, Brightspace no puede cambiar su tamaño correctamente. Brightspace abre muchos cuadros de diálogo para avisar a los usuarios durante los flujos de trabajo, lo que bloquea el resto de la aplicación para que el usuario pueda concentrarse. Cuando Brightspace es IFramed, los diálogos solo bloquearían el iframe, lo que podría confundir al usuario. En cuanto a la accesibilidad, los lectores de pantalla y los usuarios de solo teclado tienen una experiencia terrible al interactuar con Brightspace dentro de un iframe. Brightspace realizará ciertas acciones en el marco de nivel superior al salir de nuestros propios marcos, cuando Brightspace está dentro de un iframe, esto da como resultado que Brightspace salga del iframe y se apodere de la página exterior. Brightspace tiene su propia navegación superior y lateral, por lo que también será una experiencia muy inconexa para el usuario que intente averiguar qué elementos de navegación usar. En resumen, la experiencia de los usuarios cuando Brightspace está IFramed es muy pobre e inconexa, lo que elimina los beneficios de usabilidad y accesibilidad que Brightspace se enorgullece de ofrecer. Bloqueo de ejecución de SVG Permitir que JavaScript se ejecute dentro de un SVG permite ciertos ataques de ingeniería social. No se debe permitir la ejecución de SVG de fuentes no confiables para evitar ataques. Los SVG se pueden usar como imágenes sin necesidad de JavaScript para ejecutarse. ¿Qué control tienen los clientes? Los clientes tienen cierto control sobre la configuración de CSP a través del explorador de variables de configuración. Bloqueo de IFrame Tenga en cuenta que los clientes de páginas de inicio de sesión personalizadas no pueden administrar su configuración a través del CVB. Si cambian la configuración, no se reflejará en los encabezados de su página de inicio de sesión. Esto solo afecta al bloqueo de IFrame para la página de inicio de sesión.La variable config D2L. Security.ContentSecurityPolicy.AddtnlAncestors controla qué URL se permiten excepciones a IFrame Brightspace. Esta será la configuración más probable que los clientes podrían modificar para agregar excepciones para su sitio. Varias URL se enumeran de forma predeterminada para permitir que funcionen las herramientas estándar. Recomendamos si se agregarán más URL para agregar a la lista existente. Si se elimina la lista existente, es posible que algunas funciones se interrumpan. No es necesario incluir la URL del sitio actual en esta lista. Tenga en cuenta que no recomendamos agregar sitios que no sean de confianza a esta lista y se recomienda encarecidamente no agregar excepciones para cosas como localhost.Las URL deben estar separadas por un espacio. El formato de las URL debe ser uno de los siguientes ejemplos (tenga en cuenta que el tercer formato enumerado es la notación más común para usar): http://*.example.com (en inglés): Coincide con todos los intentos de carga desde cualquier subdominio de Dominio de ejemplo utilizando el esquema de URL http:.mail.example.com:443: coincide con todos los intentos de acceder al puerto 443 en mail.example.com.https://store.example.com: Coincide con todos los intentos de acceso store.example.com Usando https:. La variable config D2L. Security.ContentSecurityPolicy.HeaderEnabled determina si el encabezado CSP se incluye para la notificación o la aplicación. Por lo general, no se recomienda deshabilitar esta variable. On = El encabezado CSP se incluye en algunas solicitudes en función de cómo estén configuradas otras configuracionesDesactivado = el encabezado CSP no se incluye para ninguna solicitud La variable config D2L. Security.ContentSecurityPolicy.ReportingOnly Determina si el bloqueo de iframe se aplica o no. Si la variable es ON, no se produce la aplicación de la directiva de CSP. Se recomienda dejar esta opción OFF para que se aplique la directiva y, si es posible, agregar sitios de confianza a la variable addntlancestors. Hay ciertos clientes en los que se necesita una investigación/conversación más profunda que harán que esta variable permanezca activada. Si esta variable está activada para su sitio después de la versión 20.22.08, hable con su contacto de D2L antes de habilitarla para evitar interrupciones importantes en la funcionalidad del sitio.On = El encabezado CSP solo informa de infraccionesOff = se aplica el encabezado CSP Bloqueo de ejecución de SVG La configuración D2L. Security.ContentSecurityPolicy.SvgAllowScripts controla si se permite la ejecución de JavaScript SVG. Se recomienda no permitir la ejecución de JavaScript a menos que provenga de una fuente de confianza, por lo que la mayoría de los clientes deben dejar esta configuración deshabilitada. On = permitir la ejecución de JavaScript Off = bloquear la ejecución de JavaScript ¿Cómo obtener informes de clientes? Los informes de CSP no están disponibles para los clientes directamente en el registro del sistema. D2L puede proporcionar estos registros según sea necesario. Su representante de D2L puede obtener registros recientes para usted si es necesario.