Brandfolder utilizza la disinfezione del testo sui campi di input del testo per ridurre il rischio di attacchi di cross-site scripting.
A partire da aprile 2023, Brandfolder migliorato la sua sicurezza per includere una migliore sanificazione del testo sui campi di input del testo per ridurre il rischio di attacchi di cross-site scripting.
Perché questo cambiamento?
Gli attacchi cross-site scripting possono colpire gli utenti ben intenzionati in modi gravemente dannosi. I link non necessari aggiunti alle descrizioni dei asset o ad altri input di testo possono essere utilizzati per rubare dati e risorse degli utenti, pubblicare informazioni private degli utenti e visualizzare informazioni sensibili senza che l'utente se ne accorga.
Secondo l'Open Worldwide Application Security Project (OWASP), "Un utente malintenzionato può utilizzare XSS per inviare uno script dannoso a un utente ignaro. Il browser dell'utente finale non ha modo di sapere che lo script non deve essere considerato attendibile ed eseguirà lo script. Poiché ritiene che lo script provenga da una fonte attendibile, lo script dannoso può accedere a qualsiasi cookie, token di sessione o altre informazioni sensibili conservate dal browser e utilizzate con quel sito. Questi script possono anche riscrivere il contenuto della pagina HTML."
La soluzione di sanificazione del testo robusta e completa aggiunta protegge te e le tue risorse da questi attacchi. Ciò garantisce di non cadere vittima di collegamenti dannosi in Brandfolder. Queste modifiche sono essenziali per fornire il massimo livello di sicurezza e per garantire che Brandfolder rimanga integro e operativo.
Modifiche apportate da
L'impatto maggiore è sui campi di input HTML in cui è possibile aggiungere i propri collegamenti di ancoraggio. Le modifiche includono:
- I campi di input HTML accettano solo link di ancoraggio da un elenco di domini trusted.
- Quando un link non è in un elenco accettato, verrà automaticamente disinfettato o rimosso.
Impatti del cambiamento
Se disponi di collegamenti di ancoraggio HTML esistenti che non soddisfano i nuovi standard, rimarranno inalterati fino a quando non aggiorni il campo HTML. Una volta aggiornato il campo HTML non sarà possibile riportarlo allo stato precedente e Brandfolder disinfettare o rimuovere il collegamento.
Se tenti di aggiungere nuovi collegamenti HTML che non soddisfano gli standard, non sarai in grado di farlo.
Aree di prodotto interessate
L'area interessata sono i campi di input HTML in cui è possibile aggiungere i propri collegamenti di ancoraggio. Le aree colpite includono:
- DESCRIZIONE BREVE DELL'ORGANIZZAZIONE
- Brandfolder descrizioni
- Descrizioni dei portali
- Slogan della collezione
- Tagline del workspace
- Descrizione asset obbligatoria
- Contratti d'uso
Metodi alternativi
- Puoi scegliere di non modificare i link HTML esistenti, che li manterranno intatti.
- È possibile aggiungere collegamenti tramite pulsanti nella pagina dello spettacolo Brandfolder.
- È possibile includere la posta ai collegamenti.
- È possibile utilizzare collegamenti telefonici.
- È possibile utilizzare il collegamento a asset scheda nel asset modale.
- Molti domini per siti Web comuni saranno ancora supportati, quindi puoi provare a inserire i loro link di ancoraggio.
- Puoi richiedere che il tuo dominio venga aggiunto all'elenco delle Brandfolder consentiti contattando l'Brandfolder l'assistenza o il contatto Brandfolder designato.
- È possibile utilizzare i collegamenti relativi.
- Puoi incollare l'URL come testo normale. Ad esempio:
- Invece di digitare