Wat is het? Beveiligingsbeleid voor inhoud (CSP) is een mechanisme om extra beveiliging aan websites toe te voegen om verschillende soorten aanvallen te elimineren. Het werkt door een header toe te voegen aan het webverkeer van de oorspronkelijke server die aangeeft hoe de server zou moeten werken. Dit betekent dat elke pagina die vanaf de site wordt geladen, wordt beschermd door deze instellingen. Er is een breed scala aan CSP-opties, afhankelijk van de behoeften van een bepaalde site. D2L heeft een aantal soorten CSP-opties aangenomen die hieronder worden beschreven om specifieke potentiële problemen op te lossen. Verdere opties kunnen worden aangenomen als dat in de toekomst nodig is. CSP kan rapporteren over mogelijke schendingen, zelfs wanneer het beleid niet wordt gehandhaafd, en rapporteren over schendingen wanneer het beleid wordt afgedwongen. Dit betekent dat D2L inzicht heeft in wanneer en hoeveel pogingen er worden gedaan die de door ons gekozen instellingen schenden. Iframe-blokkering De CSP-beleid voor frame-voorouders wordt gebruikt om de mogelijkheid voor sommige websites te blokkeren om de oorspronkelijke site te IFrame, in dit geval Brightspace. Dit wordt gebruikt om clickjacking-aanvallen te voorkomen en om een betere gebruikerservaring te bieden. D2L gebruikt dit CSP-beleid momenteel op de inlogpagina en is van plan het later voor de hele site toe te voegen. Houd er rekening mee dat het beleid voor de hele site momenteel niet moet worden gebruikt, omdat dit bekende breuken veroorzaakt met hulpprogramma's zoals Lessen. De blokkering van IFrame voor de hele site wordt later volledig vrijgegeven. Blokkering van SVG-uitvoering De CSP-beleid voor sandboxen wordt gebruikt om de uitvoering van JavaScript in een SVG-bestand te blokkeren. Dit wordt gebruikt om phishing- of social engineering-aanvallen te voorkomen om gebruikersinformatie te verkrijgen. D2L maakt gebruik van het Sandbox-beleid zonder scripts toe te staan om de uitvoering van JavaScript in SVG-bestanden te voorkomen. Dit CSP-beleid wordt alleen toegevoegd aan de koptekst van SVG-pagina's wanneer het wordt weergegeven. SVG-bestanden worden nog steeds geladen, maar ze kunnen geen code uitvoeren. Wie heeft er last van? Voor alle nieuwe en bestaande clients zijn deze beveiligingen ingeschakeld in de release van augustus. Klanten die Login Page Management (LPM) gebruiken, kunnen hun configuraties beheren binnen de Config Variable Browser. Klanten die aangepaste ASP-pagina's of aangepaste gehoste aanmeldingspagina's gebruiken, kunnen hun eigen instellingen niet uitschakelen of wijzigen. Clients die deze aangepaste pagina's gebruiken, gebruiken serverinstellingen die van toepassing zijn op alle clients die deze aangepaste pagina's gebruiken, dus individuele wijzigingen zijn niet mogelijk. Als een klant aangepaste instellingen nodig heeft, moet hij het gebruik van zijn aangepaste aanmeldingspagina stopzetten. Er zijn enkele algemene vrijstellingen die zijn toegepast op alle clients, ongeacht het type aanmeldingspagina.Voor klanten die gebruik maken van Login Page Management, zijn er een paar bekende clients met IFraming die verder moeten worden onderzocht/mogelijke clientwijzigingen behoeven. Deze instanties zijn vrijgesteld van de wijziging in augustus. D2L zal contact opnemen met de getroffen klanten om verder te praten. LPM-clients kunnen indien nodig URL-vrijstellingen voor zichzelf toevoegen (zie het onderstaande gedeelte over clientconfiguratie). Veel van de IFraming-pogingen die plaatsvinden, zijn clients die heen en weer schakelen tussen hun primaire en niet-primaire URL's. Het gebruik van de niet-primaire URL kan ervoor zorgen dat veel tools kapot gaan en moet worden vermeden. Waarom doen we dit? IFrame-blokkering Iframing Brightspace beïnvloedt de gebruikerservaring en toegankelijkheid van Brightspace en maakt mogelijke aanvallen mogelijk, waardoor de beveiliging van de site wordt verminderd. Het belangrijkste beveiligingsprobleem dat dit vermindert, is de mogelijkheid voor Klikken aanvallen te laten plaatsvinden. Vanuit het perspectief van de gebruiker is Brightspace gebouwd om een applicatie op het hoogste niveau te zijn en veel componenten functioneren niet of niet goed als ze worden geramd. Brightspace is gebouwd om te reageren op de grootte van het apparaat, maar door IFraming binnen een kleiner venster, kan Brightspace zichzelf niet goed verkleinen. Brightspace opent veel dialoogvensters om gebruikers te vragen tijdens workflows die de rest van de applicatie blokkeren, zodat de gebruiker zich kan concentreren. Wanneer Brightspace is IFramed, blokkeren de dialoogvensters alleen het iframe, wat de gebruiker in verwarring zou kunnen brengen. Voor toegankelijkheid hebben gebruikers van alleen schermlezers en toetsenbord een vreselijke ervaring met interactie met Brightspace binnen een iframe. Brightspace zal bepaalde acties uitvoeren op het frame op het hoogste niveau bij het uitbreken van onze eigen frames, wanneer Brightspace zich binnen een iframe bevindt, resulteert dit in het doorbreken van Brightspace uit het iframe en het overnemen van de buitenste pagina. Brightspace heeft zijn eigen boven- en zijnavigatie, dus het zal ook een zeer onsamenhangende ervaring zijn voor de gebruiker die probeert uit te zoeken welke navigatie-elementen hij moet gebruiken. Samenvattend is de ervaring voor gebruikers wanneer Brightspace wordt geIFramed erg slecht en onsamenhangend, waardoor de bruikbaarheids- en toegankelijkheidsvoordelen die Brightspace met trots biedt, worden weggenomen. Blokkering van SVG-uitvoering Door JavaScript binnen een SVG uit te voeren, kunnen bepaalde social engineering-aanvallen worden uitgevoerd. SVG's van niet-vertrouwde bronnen mogen niet worden uitgevoerd om aanvallen te voorkomen. SVG's kunnen als afbeeldingen worden gebruikt zonder dat JavaScript hoeft te worden uitgevoerd. Welke zeggenschap hebben klanten? Clients hebben wel enige controle over de CSP-instellingen via de Config Variable Browser. IFrame-blokkering Let op, klanten met een aangepaste inlogpagina kunnen hun instellingen niet beheren via het CVB. Als ze de instellingen wijzigen, wordt dit niet weergegeven in de kopteksten van hun inlogpagina. Dit heeft alleen invloed op IFrame-blokkering voor de inlogpagina.De configuratievariabele D2L. Beveiliging.InhoudBeveiligingPolicy.AddtnlVoorouders Hiermee bepaalt u welke URL's uitzonderingen mogen maken op IFrame Brightspace. Dit is de meest waarschijnlijke configuratie die klanten kunnen wijzigen om uitzonderingen voor hun site toe te voegen. Standaard worden er verschillende URL's weergegeven om standaardtools te laten functioneren. We raden aan om meer URL's toe te voegen aan de bestaande lijst. Als de bestaande lijst wordt verwijderd, kan sommige functionaliteit defect raken. De huidige site-URL hoeft niet in deze lijst te worden opgenomen. Let op, we raden af om niet-vertrouwde sites aan deze lijst toe te voegen en raden ten zeerste af om uitzonderingen toe te voegen voor zaken als localhost.URL's moeten worden gescheiden door een spatie. Het formaat van de URL's moet een van de onderstaande voorbeelden zijn (let op: het derde formaat dat wordt vermeld, is de meest gebruikelijke notatie om te gebruiken): Zie: http://*.example.com: Komt overeen met alle pogingen om te laden vanuit een subdomein van Voorbeeld domein met behulp van het http: URL-schema.mail.example.com:443: Komt overeen met alle pogingen om toegang te krijgen tot poort 443 op mail.example.com.https://store.example.com: Komt overeen met alle pogingen om toegang te krijgen store.example.com met behulp van https:. De configuratievariabele D2L. Security.ContentSecurityPolicy.HeaderEnabled Hiermee wordt bepaald of de CSP-header überhaupt wordt opgenomen voor rapportage of handhaving. We raden meestal niet aan om deze variabele uit te schakelen. Aan = CSP-header wordt opgenomen in sommige aanvragen op basis van hoe andere configuraties zijn geconfigureerdUit = CSP-header is niet opgenomen voor aanvragen De configuratievariabele D2L. Beveiliging.InhoudBeveiligingsbeleid.Alleen rapportage Hiermee bepaalt u of iframe-blokkering wordt afgedwongen of niet. Als de variabele is ingeschakeld, vindt er geen handhaving van het CSP-beleid plaats. We raden aan om dit UIT te laten, zodat het beleid wordt afgedwongen, en indien mogelijk vertrouwde sites toe te voegen aan de variabele addntlancestors. Er zijn bepaalde klanten waar verder onderzoek/gesprek nodig is die deze variabele AAN laten staan. Als deze variabele na de release van 20.22.08 is ingeschakeld voor uw site, bespreek dit dan met uw D2L-contactpersoon voordat u deze inschakelt om grote onderbrekingen in de functionaliteit van de site te voorkomen.Aan = CSP-header rapporteert alleen overtredingenUit = CSP-header wordt afgedwongen Blokkering van SVG-uitvoering De configuratie D2L. Beveiliging.InhoudSecurityPolicy.SvgAllowScripts Hiermee bepaalt u of SVG JavaScript-uitvoering is toegestaan. Het wordt aanbevolen om het uitvoeren van JavaScript niet toe te staan, tenzij het afkomstig is van een vertrouwde bron, dus de meeste clients moeten deze configuratie uitgeschakeld laten. Aan = JavaScript-uitvoering toestaan Uit = JavaScript-uitvoering blokkeren Hoe krijg ik klantrapportage? De CSP-rapporten zijn niet rechtstreeks beschikbaar voor clients in het systeemlogboek. D2L kan deze logboeken leveren als dat nodig is. Uw D2L-vertegenwoordiger kan indien nodig recente logboeken voor u verkrijgen.