Контактирајте не

Ново во Magento 2.3.5: Политика за безбедност на содржината

Најновата верзија на Magento 2.3.5. има нова безбедносна функционалност воведена: Политика за безбедност на содржината (CSP). Оваа нова функционалност е убав додаток на безбедносните опции што веќе ги нуди Magento и се смета за најдобра практика за обезбедување на вашата продавница. Но, што е CSP и зошто треба да го примените?

 

Што е Политика за безбедност на содржина (CSP)

Веб-страницата содржи (многу) различни скрипти. Овие скрипти обезбедуваат дополнителни функционалности во вашата веб-продавница, осигурете се дека патувањето на клиентите на веб-локацијата се мери или водете евиденција за тоа колку од вашите реклами конвертираат. Мерењето на вашата веб-страница преку Google Analytics, на пример, се врши преку скрипта што е вчитана.

Повеќето скрипти се користат за добри цели. За жал, постојат и скрипти кои треба да ги чувате надвор од вашата веб-продавница. Пример е скрипта која ги препраќа информациите за кредитната картичка и лозинките до хакерите. Овие скрипти може да се постават само кога хакер ќе добие пристап до веб-продавницата преку протечени администраторски податоци или преку експлоатираат во екстензија, шаблонот или грешка во самиот Magento.

Шансите да се случи ова се секако минимални доколку ги ажурирате веб-продавницата и екстензии. Сепак, има минати примери на напади кои биле успешни. Најпознатиот напад е оној на Magecart група која успеала да ги пренесе личните податоци во голем обем преку скрипти.

Ова е местото каде што CSP доаѓа во рака. CSP е линија на веб-локацијата која му дава инструкции на прелистувачот кои скрипти може да се вчитаат. Скриптите кои не се вклучени во CSP, исто така, нема да бидат вчитани од прелистувачот. CSP е еден Последна линија на одбрана бидејќи скриптата е веќе поставена на веб-локацијата, но едноставно не може да се активира од посетителот. Ова спречува погрешно пренасочување на податоците од вашата веб-локација. Покрај блокирањето на скрипти кои не се дозволени, CSP испраќа и известување кога скрипта не е вклучена во CSP. Потоа можете брзо да дејствувате за да ја отстраните скриптата што е можно побрзо.

Што значи ова за вашата веб-продавница?

CSP не се нови и веќе се користат на многу веб-локации. Сепак, Magento ја има оваа функционалност со верзијата 2.3.5. ново воведено и овозможете го ова стандардно при ажурирање. CSP е стандардно овозможен само за известување режим, односно ги пријавува само скриптите што сè уште не се додадени во CSP. Ќе видите како се враќаат пораките за грешка во конзолата на вашиот прелистувач, видете го прилогот за пример за пораките за грешка. Ништо друго сè уште не е блокирано. Логично, инаку дел од вашата веб-локација повеќе нема да работи ако CSP сè уште не е (правилно) поставен.

 
Пример за конзолата на прелистувачот кога CSP сè уште не е поставен.

Откако ќе го подготвите вашиот CSP, советот е т.н Ограничи режим на вашата веб-страница, при што скриптите се всушност блокирани доколку не се вклучени во CSP. Само тогаш ќе имате поголема сигурност дека вашата продавница ќе остане безбедна во случај да се постави неовластена скрипта. Недостаток на овој режим е што скриптите што ги додавате во веб-продавницата мора прво да се додадат во CSP пред да работат. Ова може да биде досадно, на пример, кога сакате да примените маркетинг или аналитички скрипти како што е Hotjar. Магенто се очекува да биде режим на ограничување во подоцнежните верзии ќе се задржи како стандардно. Затоа е мудро да се примени ова правилно сега.

Бидејќи CSP може да се прилагоди само директно во кодот, ова е нешто што вие како администратор на веб-продавница не можете лесно да го имплементирате преку конфигурацијата на Magento. Ова е поврзано со безбедноста: кога хакер има пристап до веб-продавницата, хакерот може да додаде своја сопствена скрипта во CSP. Градителот на веб-продавница може да ви помогне со тоа со креирање на CSP за вас и поставување на саканиот режим. Прво веб-локацијата мора да се скенира за скрипти што се вчитани на вашата веб-страница. Скриптите потоа мора да се додадат во CSP, по што страницата мора да се следи за да се осигура дека сè уште работи како што сакате. По желба, на режим на ограничување да се користи. Ако сакате подоцна да активирате нова скрипта во веб-продавницата, можете да ја поднесете оваа до градителот на веб-локацијата за да може да се додаде и во CSP.

Ако ви треба помош со спроведувањето на CSP, можеме да ве поддржиме. Земете да не контактирате Контактирајте не за прашања, коментари и опции.

Споделете го овој блог

Објавено на

Последно ажурирање на

  • 16 март 2024 15:30 часот

Автор

Слика од Dennis Hornung

Денис Хорнунг

Ви треба помош?

Ние сме среќни да ви помогнеме!

Контактирајте не

Автор

Слика од Dennis Hornung

Ви треба помош?

Ние сме среќни да ви помогнеме!

Контактирајте не

🔥 Исто така интересно

Погледнете ги сите случаи

Bolsius

  • B2B, ERP интеграција, Магенто
Прочитајте повеќе

Vandeputte Medical

  • B2B, Dynamics 365 Business Central, Е-трговија, Магенто
Прочитајте повеќе

Mister Pop

  • B2B, B2C, Е-трговија, Токму онлајн, Продавница 6
Прочитајте повеќе

IMC Europe

  • B2B, Dynamics 365 Business Central, Е-трговија, ERP интеграција, Магенто
Прочитајте повеќе

Dehaco

  • B2B, Е-трговија, Магенто, PIM систем
Прочитајте повеќе

Artificial Grass Specialists

  • B2B, Dynamics 365 Business Central, Е-трговија, Пошта, Продавница 6
Прочитајте повеќе
Погледнете го нашето портофолио

Поставете прашање?

Нашите специјалисти со задоволство размислуваат заедно со вас.
Јавете се на +389 47 289588 или испратете е-пошта до infomk@ecomwise.com

Изберете ги вашите решенија за е-трговија!

Побарајте консултација
mk_MKMK
mk_MKMK nl_NLNL en_GBEN