Brandfolder utilise la désinfection de texte sur les champs de saisie de texte pour réduire le risque d'attaques de script entre sites.
USM Content
Depuis avril 2023, Brandfolder a amélioré sa sécurité pour inclure une meilleure désinfection de texte sur les champs de saisie de texte afin de réduire le risque d'attaques de script entre sites.
Pourquoi ?
Les attaques de script entre sites peuvent gravement nuire aux utilisateurs bien intentionnés. Des liens néfastes ajoutés aux descriptions d'actifs ou à d'autres saisies de texte peuvent voler des données et des actifs d'utilisateur, publier des informations privées d'utilisateur et voir des informations sensibles sans que l'utilisateur s'en rende compte.
Selon le Open Worldwide Application Security Project (OWASP), "Un attaquant peut utiliser XSS pour envoyer un script malveillant à un utilisateur non averti. Le navigateur de l'utilisateur final ne peut pas savoir que le script ne doit pas être digne de confiance et exécutera le script. Parce qu'il pense que le script provient d'une source de confiance, le script malveillant peut accéder à tous les cookies, jetons de session ou autres informations sensibles conservées par le navigateur et utilisées avec ce site. Ces scripts peuvent même réécrire le contenu de la page HTML.”
La solution de désinfection de texte robuste et complète vous protège, vous et vos actifs, de ces attaques. Elle garantit que vous ne devenez pas victime de liens malveillants dans Brandfolder. Ces changements sont essentiels pour vous fournir le plus haut niveau de sécurité et garantir que Brandfolder reste sain et opérationnel.
Qu'est-ce qui a changé ?
L'impact le plus significatif concerne les champs de saisie HTML où vous pouvez ajouter des liens d'ancrage. Les changements incluent :
- Les champs de saisie HTML n'acceptent que les liens d'ancrage d'une liste de domaines de confiance.
- Lorsqu'un lien n'est pas sur une liste acceptée, il est automatiquement désinfecté ou supprimé.
Si vous avez des liens d'ancrage HTML existants qui ne répondent pas aux nouvelles normes, ils ne seront pas affectés tant que vous ne mettez pas à jour le champ HTML. Une fois que vous mettez à jour le champ HTML, vous ne pouvez pas le ramener à son état précédent, et Brandfolder désinfectera ou supprimera le lien.
Si vous essayez d'ajouter de nouveaux liens HTML qui ne répondent pas aux normes, vous ne pourrez pas le faire.
Domaines de produits affectés
La zone impactée est les champs de saisie HTML, où vous pouvez ajouter des liens d'ancrage. Les domaines affectés incluent :
- Descriptions de l'organisation
- Descriptions de Brandfolder
- Descriptions du portail
- Slogans de collection
- Slogans d'espace de travail
- Descriptions des actifs
- Accords d'utilisation
Méthodes alternatives
- Ne modifiez pas les liens HTML existants, ce qui les maintiendra intacts.
- Ajoutez des liens via des boutons sur la page de présentation de Brandfolder.
- Inclure des liens mail-to.
- Utilisez des liens téléphoniques.
- Utilisez le lien vers la carte d'actif dans la modal d'actif.
- De nombreux domaines pour les sites Web standard seront toujours pris en charge, vous pouvez donc essayer d'insérer leurs liens d'ancrage.
- Demandez à ce que votre domaine soit ajouté à la liste blanche de Brandfolder en contactant le support de Brandfolder ou votre contact désigné de Brandfolder.
- Utilisez des liens relatifs.
- Collez l'URL en texte brut. Par exemple, au lieu de taper