Impostazioni di protezione globali - Infor Ming.le

Nel pannello di controllo Impostazioni di protezione globale è possibile creare e gestire un elenco di siti protetti in cui è possibile incorporare Dashboards. Lo scopo di questa operazione è garantire la protezione da attacchi di tipo UI redress (clickjacking).

Negli attacchi di tipo clickjacking, collegamenti che attivano l'invio delle informazioni al server di un utente malintenzionato vengono alterati in modo da sembrare collegamenti validi. In questo modo, un utente può inviare involontariamente informazioni riservate a un utente malintenzionato.

Per evitare il clickjacking, le intestazioni di risposta HTTP (Content-Security-Policy: frame-ancestors ) sono configurate per consentire l'incorporamento Dashboards solo nei siti protetti che lei elenca. Le intestazioni vengono applicate automaticamente in base alla propria selezione.

Gli URL delle Homepages sono preconfigurati come siti protetti.

L'autorizzazione per la gestione dell'elenco può essere limitata ai tenant di sistema. L'autorizzazione viene attivata selezionando la casella di controllo I clienti possono aggiungere siti protetti nelle impostazioni di protezione del tenant del sistema. Quando l'autorizzazione è attivata, i tenant standard possono visualizzare l'elenco dei siti protetti, ma non possono modificarlo.

Nella sezione Siti che possono incorporare i pannelli di controllo Infor EPM nella pagina Impostazioni di protezione globali, è possibile selezionare le seguenti opzioni:

  • Qualsiasi sito: Se selezionato, Dashboards può essere incorporato e aperto da qualsiasi sito esterno senza restrizioni. In questo caso, non vengono inviate le intestazioni Content-Security-Policy.
  • Solo siti protetti: Se selezionato, Dashboards può essere incorporato solo nei siti elencati nella tabella Siti protetti. I siti vengono automaticamente inclusi nelle intestazioni della risposta HTTP (Content-Security-Policy: frame-ancestors). È necessario elencare almeno un sito per abilitare questa opzione.
  • Aprire le EPM Dashboards di Infor solo da siti protetti: Disponibile solo se ha selezionato l'opzione Solo siti protetti. Se l'opzione è selezionata, l'apertura del pannello di controllo è consentita esclusivamente se la richiesta proviene da uno dei siti protetti e se lo stesso pannello di controllo risulta incorporato nel sito protetto. L'accesso diretto a tale pannello di controllo, tramite l'inserimento di un URL nel browser o l'utilizzo di un segnalibro, è bloccato.