Power Pages zerbitzuaren segurtasunari buruz maiz egiten diren galderak

Nola laguntzen du Power Pages-ek klik egiten duzunean erasoen aurka babesten?

Clickjacking erasoak kapsulatutako iFrame-ak edo bestelako osagaiak ditu erabiltzaile baten webgune bateko interakzioak bahitzeko.
Power Pages HTTP/X-Frame-Options gunearen ezarpenak SAMEORIGIN lehenetsiarekin eskaintzen ditu clickjacking erasoetatik babesteko.

Informazio gehiago: Konfiguratu HTTP goiburuak Power Pages zerbitzuan

Edukiaren segurtasun-gidalerroak onartzen ditu Power Pages-ek?

Power Pages zerbitzuak Edukiaren segurtasun-gidalerroak onartzen ditu. CSP gaitu ondoren proba zabalak egitea gomendatzen da Power Pages webgunean.

Informazio gehiago: Kudeatu zure guneko Edukien Segurtasun Politika

Power Pages zerbitzuak HTTP Strict Transport-en segurtasun-gidalerroak onartzen ditu?

Lehenespenez, Power Pages HTTPrako HTTPS birbideraketak onartzen ditu. Markatuz gero, egiaztatu eskaera blokeatzen ari den aplikazio-zerbitzu mailan. Ez bada eskaera osatzen (erantzun kodea > = 400), positibo faltsu bat da.

Zergatik HTTPOnly/SameSite markarik gabeko cookieak detektatzen/salatu dituzte eraso simulatuaren tresnek?

Power Pages zerbitzuak HTTPOnly/SameSite markak ezartzen ditu cookie kritiko bakoitzeko. HTTPOnly/SameSite ezarrita ez duten kritikoak ez diren cookieak daude, eta hauek ez dira ahultasuntzat hartu behar.

Informazio gehiago: Power Pages zerbitzuko cookieak

Nire Pen probaren txostena Bizitzaren amaiera / Software zaharkitua adierazten ari da - Bootstrap 3. Zer egin behar dut horri buruz?

Ez dago ahultasun ezagunik Bootstrap 3-n; hala ere, zure webgunea Bootstrap 5era migra dezakezu.

Zein zifratzerekin da bateragarria Power Pages? Zein da zifratze sendoagoetara etengabe mugitzeko bide-orria?

Microsoft zerbitzu eta produktu guztiak onartutako zifra-multzoak erabiltzeko konfiguratuta daude, Microsoft Crypto Board-ek agindutako ordena zehatzean.

Zerrenda osoa eta ordena zehatza ikusteko, ikusi Power Platform dokumentazioa.

Zifratze-multzoen zaharkitzeei buruzko informazioa Power Platform Aldaketa garrantzitsuen dokumentazioaren bidez jakinarazten da.

Zergatik onartzen ditu Power Pages-ek oraindik RSA-CBC zifraketak (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) eta TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)), zeintzuk ahulagoak diren?

Microsoft-ek bezeroen eragiketen arrisku erlatiboa eta etenaldia neurtzen ditu laguntzarako zifratu multzoak aukeratzerakoan. RSA-CBC zifra-multzoak oraindik ez dira hautsi. Zerbitzuen eta produktuen arteko koherentzia bermatzeko, eta bezeroaren konfigurazio guztiak onartzeko gaitu ditugu; hala ere, lehentasunen zerrendaren azpian daude.

Microsoft Crypto Board-en esleipen jarraituan oinarritutako zifratzeak baztertzen ditugu.

Informazio gehiago: Zein TLS 1.2 zifratze-multzo onartzen ditu Power Pages zerbitzuak?

Nola babesten da Power Pages Distributed Denial of Service (DDoS) erasoetatik?

Power Pages zerbitzua Microsoft Azure zerbitzuan oinarritzen da eta Azure DDoS Protection erabiltzen du DDoS erasoetatik babesteko. Gainera, OOB/hirugarrenen AFD/WAF gaitzeak babes gehiago gehi dezake gunean.

Informazio gehiago:

Nire eraso simulatuaren txostena ahultasuna adierazten ari da CKEditor-en. Nola arindu dezaket ahultasun hori?

RTE PCF kontrolak CKEditor ordezkatuko du laster. RTE PCF kontrola kaleratu baino lehen arazo hau arindu nahi baduzu, desgaitu CKEditor gunearen ezarpena DisableCkEditorBundle = true konfiguratuz. Testu-eremu batek CKEditor ordezkatzen du desgaituta dagoenean.

Nola babesten dut nire webgunea XSS erasoetatik?

Fidagarria ez den iturriko datuak errendatu aurretik HTML kodeketa egitea gomendatzen dugu.

Informazio gehiago: Erabilgarri dauden kodetze-iragazkiak.

Nola babesten dut nire gunea injekzio erasoetatik?

Lehenespenez, ASP.Net eskaeraren baliozkotzea eginbidea gaituta dago Power Pages inprimakietan script-injekzio erasoak saihesteko. APIa erabiliz zure inprimakia sortzen ari bazara, Power Pages injekzio erasoak saihesteko hainbat neurri barne hartzen ditu.

  • Ziurtatu HTML garbiketa egokia inprimaki batetik edo Web APIa erabiltzen duen edozein datu-kontroleko erabiltzaileen sarrera kudeatzen duzunean.
  • Ezarri sarrera-irteeraren saneamendua sarrera- eta irteera-datu guztientzat orrialdean errendatu aurretik. Honen barruan sartzen dira likido/WebAPI bidez eskuratutako datuak edo kanal hauen bidez Dataverse n txertatu/eguneratuta.
  • Inprimakiaren datuak txertatu edo eguneratu aurretik egiaztapen bereziak behar badira, zerbitzariaren aldean datuak balioztatzeko exekutatzen diren pluginak idatz ditzakezu.

Informazio gehiago: Power Pages segurtasun liburu zuria.