Контактирајте не

Ново во Magento 2.3.5: Политика за безбедност на содржината

Најновата верзија на Magento 2.3.5. има нова безбедносна карактеристика воведена: Политика за безбедност на содржината (CSP). Оваа нова функционалност е убав додаток на безбедносните опции што веќе ги нуди Magento и се смета за најдобра практика за обезбедување на вашата продавница. Но, што е CSP и зошто треба да го користите?

 

Што е Политика за безбедност на содржина (CSP)

Веб-страницата содржи (многу) различни скрипти. Овие скрипти обезбедуваат дополнителна функционалност во вашата веб-продавница, осигурете се дека патувањето на клиентите на веб-локацијата се мери или водете евиденција за тоа колку од вашите реклами конвертираат. На пример, мерењето на вашата веб-страница преку Google Analytics се врши преку скрипта што е вчитана.

Повеќето скрипти се користат за добри цели. За жал, постојат и скрипти кои мора да ги спречите да се појавуваат во вашата веб-продавница. Пример е скрипта која ги пренесува информациите за кредитната картичка и лозинките на хакерите. Овие скрипти може да се постават само кога хакер ќе добие пристап до веб-продавницата преку протечени администраторски податоци или преку експлоатираат во екстензија, шаблонот или грешка во самиот Magento.

Шансите да се случи ова се секако минимални ако ги ажурирате веб-продавницата и екстензиите. Сепак, има минати примери на напади кои биле успешни. Најпознатиот напад е оној на Magecart група која успеала да пренесе лични податоци во голем обем преку скрипти.

Ова е местото каде што CSP доаѓа во рака. CSP е линија на веб-локацијата која му дава инструкции на прелистувачот кои скрипти може да се вчитаат. Скриптите кои не се вклучени во CSP, исто така, нема да бидат вчитани од прелистувачот. CSP е a Последна линија на одбрана бидејќи скриптата е веќе поставена на веб-локацијата, но едноставно не може да се активира од посетителот. Ова спречува податоците да бидат погрешно исфрлени од вашата веб-локација. Покрај CSP што блокира скрипти кои не се дозволени, тој исто така испраќа известување кога скрипта не е вклучена во CSP. Потоа може брзо да се постапи за да се отстрани скриптата што е можно побрзо.

Што значи ова за вашата веб-продавница?

CSP не се нови и веќе се користат на многу веб-локации. Сепак, Magento ја има оваа функционалност со верзијата 2.3.5. штотуку воведен и стандардно го вклучува ова при ажурирање. Стандардно, CSP е поставен на само за известување режим, што значи дека ги пријавува само скриптите што сè уште не се додадени во CSP. Во конзолата на вашиот прелистувач ќе ги видите пораките за грешка, видете го прилогот за пример за пораките за грешка. Ништо друго сè уште не е блокирано. Логично, инаку дел од вашата веб-локација повеќе нема да работи ако CSP сè уште не е поставен (правилно).

 
Пример за конзолата на прелистувачот кога CSP сè уште не е поставен.

Откако ќе го подготвите вашиот CSP, советот е т.н Ограничи режим за да овозможите на вашата веб-локација, при што скриптите се всушност блокирани доколку не се вклучени во CSP. Само тогаш можете да бидете посигурни дека вашата продавница ќе остане безбедна во случај да биде поставена неовластена скрипта. Недостаток на овој режим е што скриптите што ги додавате во веб-продавницата мора прво да се додадат во CSP пред да работат. Ова може да биде досадно, на пример, ако сакате да користите маркетинг или аналитички скрипти како што е Hotjar. Се очекува Магенто да режим на ограничување во подоцнежните верзии ќе продолжи како стандардно. Затоа е мудро да се примени ова правилно сега.

Бидејќи CSP може да се прилагоди само директно во кодот, ова е нешто што вие како менаџер на веб-продавница не можете лесно да го имплементирате преку конфигурацијата Magento. Ова има врска со безбедноста: ако хакер има пристап до веб-продавницата, хакерот може да додаде своја сопствена скрипта во CSP. Градителот на веб-продавница може да ви помогне со тоа со креирање на CSP за вас и поставување на саканиот режим. Прво, веб-локацијата мора да се скенира за скрипти што се вчитани на вашата веб-страница. Следно, скриптите треба да се додадат во CSP, по што страницата треба да се следи за да се осигура дека сè уште работи како што сакате. По желба, на режим на ограничување се користат. Ако сакате да активирате нова скрипта во веб-продавницата подоцна, можете да ја поднесете оваа до градителот на веб-локацијата за да може да се додаде и во CSP.

Ако ви треба помош со спроведувањето на CSP, можеме да ве поддржиме. Земете контакт Ве молиме контактирајте не за прашања, коментари и можности.

Споделете го овој блог

Објавено на

Последно ажурирање на

  • 16 март 2024 15:30 часот

Автор

Слика од Dennis Hornung

Денис Хорнунг

Ви треба помош?

Ние сме среќни да ви помогнеме!

Контактирајте не

Автор

Слика од Dennis Hornung

Ви треба помош?

Ние сме среќни да ви помогнеме!

Контактирајте не

🔥 Исто така интересно

Погледнете ги сите случаи

Bolsius

  • B2B, ERP интеграција, Магенто
Прочитајте повеќе

Vandeputte Medical

  • B2B, Dynamics 365 Business Central, Е-трговија, Магенто
Прочитајте повеќе

Mister Pop

  • B2B, B2C, Е-трговија, Токму онлајн, Продавница 6
Прочитајте повеќе

IMC Europe

  • B2B, Dynamics 365 Business Central, Е-трговија, ERP интеграција, Магенто
Прочитајте повеќе

Dehaco

  • B2B, Е-трговија, Магенто, PIM систем
Прочитајте повеќе

Artificial Grass Specialists

  • B2B, Dynamics 365 Business Central, Е-трговија, Пошта, Продавница 6
Прочитајте повеќе
Погледнете го нашето портофолио

Поставете прашање?

Нашите специјалисти со задоволство размислуваат заедно со вас.
Јавете се на +389 47 289588 или испратете е-пошта до [email protected]

Изберете ги вашите решенија за е-трговија!

Побарајте консултација
mk_MKMK
mk_MKMK nl_NLNL en_GBEN