Qu’est-ce que c’est? Politique de sécurité du contenu (CSP) est un mécanisme permettant d’ajouter une sécurité supplémentaire aux sites Web afin d’éliminer plusieurs types d’attaques. Il fonctionne en ajoutant un en-tête au trafic Web à partir du serveur d’origine qui indique comment le serveur doit fonctionner. Cela signifie que chaque page chargée à partir du site est protégée par ces paramètres. Il existe un large éventail d’options de CSP en fonction des besoins d’un site particulier. D2L a adopté quelques types d’options CSP décrites ci-dessous pour résoudre des problèmes potentiels spécifiques. D’autres options pourraient être adoptées au fur et à mesure que les besoins se présenteront. Le CSP peut signaler des violations potentielles même lorsqu’il n’applique pas les stratégies ainsi que signaler des violations lorsque la stratégie est appliquée. Ce qui signifie que D2L a une visibilité sur quand et combien de tentatives sont faites qui violent nos paramètres choisis. Blocage d’Iframe L' Stratégie CSP de Frame-Ancestors est utilisé pour bloquer la possibilité pour certains sites Web d’IFrame le site d’origine dans ce cas Brightspace. Ceci est utilisé pour empêcher les attaques de détournement de clic ainsi que pour fournir une meilleure expérience utilisateur. D2L utilise cette stratégie CSP sur la page de connexion actuellement avec des plans pour l’ajouter plus tard à l’échelle du site. Notez que la stratégie à l’échelle du site ne doit pas actuellement être utilisée car elle provoque des ruptures connues avec des outils tels que Lessons. Le blocage IFrame à l’échelle du site sera entièrement publié ultérieurement. Blocage de l’exécution SVG L' Stratégie CSP Sandbox est utilisé pour bloquer l’exécution de JavaScript dans un fichier SVG. Il est utilisé pour empêcher le phishing ou les attaques d’ingénierie sociale pour obtenir des informations utilisateur. D2L utilise la stratégie Sandbox sans permettre aux scripts d’empêcher l’exécution de JavaScript dans les fichiers SVG. Cette stratégie CSP est seulement ajoutée à l’en-tête des pages SVG une fois rendu. Les fichiers SVG continueront de se charger, mais ils ne pourront pas exécuter de code. Qui est touché? Ces protections seront activées pour tous les clients nouveaux et existants dans la version d’août. Les clients utilisant la gestion des pages de connexion (LPM) peuvent gérer leurs configurations dans le navigateur de variables de configuration. Les clients utilisant des pages ASP personnalisées ou des pages de connexion hébergées personnalisées ne pourront pas désactiver ou modifier leurs propres paramètres. Les clients qui utilisent ces pages personnalisées utilisent des paramètres côté serveur qui s’appliquent à tous les clients utilisant ces pages personnalisées afin que des modifications individuelles ne soient pas possibles. Si un client a besoin de paramètres personnalisés, il devra cesser d’utiliser sa page de connexion personnalisée. Certaines exemptions génériques ont été appliquées à tous les clients, quel que soit le type de page de connexion.Pour les clients utilisant la gestion des pages de connexion, il existe quelques clients connus avec IFraming qui nécessitent une enquête plus approfondie / des modifications possibles du client. Ces cas seront exemptés du changement en août. D2L communiquera avec les clients touchés pour en discuter davantage. Les clients LPM peuvent ajouter des exemptions d’URL pour eux-mêmes selon leurs besoins (voir la section ci-dessous sur la configuration du client). La plupart des tentatives d’IFraming qui se produisent sont des clients qui basculent entre leurs URL principales et non primaires. L’utilisation de l’URL non principale peut entraîner la rupture de nombreux outils et doit être évitée. Pourquoi faisons-nous cela? Blocage d’IFrame Iframing Brightspace affecte l’expérience utilisateur et l’accessibilité de Brightspace ainsi que de permettre des attaques potentielles diminuant la sécurité du site. La principale préoccupation en matière de sécurité que cela diminue est la capacité de détournement de clic attaques à se produire. Du point de vue de l’utilisateur, Brightspace a été conçu pour être une application de haut niveau et de nombreux composants ne fonctionnent pas ou ne fonctionnent pas bien si IFramed. Brightspace a été conçu pour être sensible à la taille de l’appareil, mais en IFraming dans une fenêtre plus petite Brightspace ne peut pas se redimensionner correctement. Brightspace ouvre de nombreuses boîtes de dialogue pour inviter les utilisateurs pendant les flux de travail qui bloquent le reste de l’application afin que l’utilisateur puisse se concentrer. Lorsque Brightspace est IFramed, les boîtes de dialogue ne bloquent que l’iframe, ce qui pourrait confondre l’utilisateur. Pour l’accessibilité, les lecteurs d’écran et les utilisateurs de clavier uniquement ont une expérience terrible en interagissant avec Brightspace dans un iframe. Brightspace effectuera certaines actions sur le cadre de niveau supérieur lors de la sortie de nos propres cadres, lorsque Brightspace est dans un iframe, il en résulte que Brightspace sort de l’iframe et prend le contrôle de la page extérieure. Brightspace a sa propre navigation supérieure et latérale, ce sera donc aussi une expérience très décousue pour l’utilisateur qui essaie de comprendre quels éléments de navigation utiliser. En résumé, l’expérience pour les utilisateurs lorsque Brightspace est IFramed est très pauvre et décousue, ce qui supprime les avantages de la convivialité et de l’accessibilité que Brightspace est fier de fournir. Blocage de l’exécution SVG Permettre à JavaScript de s’exécuter dans un SVG permet certaines attaques d’ingénierie sociale. Les SVG provenant de sources non fiables ne doivent pas être autorisés à s’exécuter pour éviter les attaques. Les SVG peuvent être utilisés comme images sans avoir besoin de JavaScript pour s’exécuter. Quel contrôle les clients ont-ils? Les clients ont un certain contrôle sur les configurations CSP par l’intermédiaire du navigateur variable de config. Blocage d’IFrame Notez que les clients de page de connexion personnalisés ne peuvent pas gérer leurs paramètres via le CVB. S’ils modifient les paramètres, cela ne sera pas reflété dans leurs en-têtes de page de connexion. Cela n’affecte que le blocage iframe pour la page de connexion.La variable de configuration d2l.Security.ContentSecurityPolicy.AddtnlAncestors contrôle les URL autorisées exceptions à IFrame Brightspace. Il s’agit de la configuration la plus probable que les clients peuvent modifier pour ajouter des exceptions pour leur site. Plusieurs URL sont répertoriées par défaut pour permettre aux outils standard de fonctionner. Nous recommandons si d’autres URL seront ajoutées pour ajouter à la liste existante. Si la liste existante est supprimée, certaines fonctionnalités peuvent se casser. L’URL du site actuel n’a pas besoin d’être incluse dans cette liste. Notez que nous ne recommandons pas d’ajouter des sites non fiables à cette liste et nous déconseillés fortement d’ajouter des exceptions pour des choses comme localhost.Les URL doivent être séparées par un espace. Le format des URL doit être l’un des exemples ci-dessous (notez que le troisième format répertorié est la notation la plus couramment utilisée) : http://*.example.com: Correspond à toutes les tentatives de chargement à partir d’un sous-domaine de Exemple de domaine en utilisant le schéma http : URL.mail.example.com:443 : Correspond à toutes les tentatives d’accès au port 443 sur mail.example.com.https://store.example.com: correspond à toutes les tentatives d’accès store.example.com en utilisant https :. La variable de configuration d2l.Security.ContentSecurityPolicy.HeaderEnabled détermine si l’en-tête du CSP est inclus du tout pour la déclaration ou l’application de la loi. Nous ne recommandons généralement pas de désactiver cette variable. On = l’en-tête CSP est inclus dans certaines demandes en fonction de la configuration d’autres variablesOff = l’en-tête CSP n’est pas inclus pour aucune demande La variable de configuration d2l.Security.ContentSecurityPolicy.ReportingOnly détermine si le blocage iframe est appliqué ou non. Si la variable est ON, l’application de la stratégie CSP ne se produit pas. Nous vous recommandons de laisser cela DÉSACTIVÉ afin que la stratégie soit appliquée et d’ajouter des sites de confiance à la variable addntlancestors si possible. Il y a certains clients pour lesquels une enquête ou une conversation plus approfondie est nécessaire et qui auront cette variable qui restera ON. Si cette variable est ACTIVÉ pour votre site après la version 20.22.08, veuillez en discuter avec votre contact D2L avant de permettre d’éviter toute perturbation majeure de la fonctionnalité du site.On = l'en-tête CSP signale uniquement les violationsOff = l'en-tête CSP est appliqué Blocage de l’exécution SVG La configuration d2l.Security.ContentSecurityPolicy.SvgAllowScripts contrôle si l’exécution svg JavaScript est autorisée. Il est recommandé de ne pas autoriser l’exécution de JavaScript à moins qu’elle ne viens d’une source fiable, de sorte que la plupart des clients doivent laisser cette configuration désactivée. On = autoriser l’exécution JavaScript Off = bloquer l’exécution javascript Comment obtenir des rapports clients? Les rapports CSP ne sont pas disponibles pour les clients directement dans le journal système. D2L peut fournir ces logs selon les besoins. Votre représentant D2L peut obtenir des journaux récents pour vous si nécessaire.