Brandfolder は、テキスト入力フィールドでテキストサニタイズを使用して、クロスサイトスクリプティング攻撃のリスクを軽減します。
2023 年 4 月現在、 Brandfolder はセキュリティを強化し、テキスト入力フィールドのテキストサニタイズを強化して、クロスサイトスクリプティング攻撃のリスクを軽減しています。
なぜ変更したのですか?
クロスサイト スクリプティング攻撃は、善意のユーザーに深刻な損害を与える可能性があります。アセットの説明やその他のテキスト入力に追加された悪質なリンクは、ユーザーのデータやアセットを盗んだり、ユーザーの個人情報を公開したり、ユーザーに気付かれずに機密情報を表示したりするために使用される可能性があります。
によると、オープンワールドアプリケーションセキュリティプロジェクト (OWASP) 、"攻撃者は XSS を使用して、疑いを持たないユーザーに悪意のあるスクリプトを送信する可能性があります。エンドユーザーのブラウザには、スクリプトが信頼できないことを知る方法がないため、スクリプトが実行されます。悪意のあるスクリプトは、スクリプトが信頼できるソースから送信されたと認識するため、ブラウザによって保持され、そのサイトで使用されている Cookie、セッション トークン、その他の機密情報にアクセスできます。これらのスクリプトは HTML ページのコンテンツを書き換えることもできます。」
追加された強力かつ包括的なテキストサニタイズソリューション、ユーザーと資産がこれらの攻撃から保護されます。これにより、 Brandfolder内の悪意のあるリンクの被害に遭うことがなくなります。これらの変更は、最高レベルのセキュリティを提供し、 Brandfolder が健全かつ正常に動作し続けることを保証するために不可欠です。
変更者:
最も大きな影響は、独自のアンカー リンクを追加できる HTML 入力フィールドにあります。変更内容は次のとおりです:
- HTML 入力フィールドは、信頼できるドメインのリストからのアンカー リンクのみを受け入れます。
- リンクが承認リストにない場合は、自動的にサニタイズまたは削除されます。
変化の影響
新しい標準に準拠していない既存の HTML アンカー リンクがある場合、HTML フィールドを更新するまでそれらのリンクは影響を受けません。HTML フィールドを更新すると、以前の状態に戻すことはできなくなり、 Brandfolderリンクが削除または削除されます。
標準を満たさない新しい HTML リンクを追加しようとすると、追加できなくなります。
影響を受ける製品分野
影響を受ける領域は、独自のアンカー リンクを追加できる HTML 入力フィールドです。影響を受ける地域は次のとおりです:
- 組織の簡単な説明
- Brandfolderの説明
- ポータルの説明
- コレクションのタグライン
- ワークスペースのタグライン
- アセットの説明は必須です
- 使用契約
代替方法
- 既存の HTML リンクを編集しないことを選択して、リンクをそのまま維持することもできます。
- Brandfolder表示ページのボタンを使用してリンクを追加できます。
- リンクにメールを含めることができます。
- 電話リンクもご利用いただけます。
- 使用できます資産カードへのリンクアセットモーダル内。
- 一般的な Web サイトの多くのドメインは引き続きサポートされているため、アンカー リンクを挿入することができます。
- ドメインをBrandfolderの許可リストに追加するには、Brandfolderのサポートまたは指定されたBrandfolder の連絡先までご連絡ください。
- 相対リンクを使用できます。
- URL をプレーンテキストとして貼り付けることができます。例: