Редактировал(а) Ирина Сафонова 22.03.2024, 15:16
От версии 81.1
отредактировано Ирина Сафонова
на 07.04.2023, 13:34
Изменить комментарий: К данной версии нет комментариев
К версии 73.1
отредактировано Ирина Сафонова
на 07.04.2023, 12:44
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Название
... ... @@ -1,1 +1,1 @@
1 -D2. Общее описание настроек
1 +D1. Общее описание настроек
Содержимое
... ... @@ -72,14 +72,11 @@
72 72  Добавление пользователей в группу описано [[здесь>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20Cloud%20BI/2.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/02.%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0/D.%20%D0%A0%D0%BE%D0%BB%D0%B8%20%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5%20%D0%BE%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8/#H41443E43143043243B43543D43843543F43E43B44C43743E43243044243543B43543943243344044343F43F44343443E44144244343F430]].
73 73  
74 74  == Создание новой роли ==
75 +Перейдите в **Настройки** -> **Список ролей**.
76 +Нажмите кнопку **Добавить новую запись**.
77 +В открывшейся экранной форме введите название роли и задайте ей права (доступен множественный выбор)
75 75  
76 -Для создания:
77 77  
78 -1. Перейдите в **Настройки** -> **Список ролей**.
79 -1. Нажмите кнопку **Добавить новую запись**.
80 -1. В открывшейся экранной форме введите название роли и задайте ей права (доступен множественный выбор).
81 -1. При необходимости добавьте пользователей на вкладке **Список пользователей**.
82 -
83 83  == Добавление пользователей в группу доступа ==
84 84  
85 85  Для добавления:
... ... @@ -95,11 +95,6 @@
95 95  
96 96  Разрешения, предоставляемые FAB, качественно детализированы и обеспечивают высокий уровень настройки. FAB автоматически создает множество разрешений для каждой создаваемой модели (//can_add, can_delete, can_show, can_edit,// …), а также для каждого представления. Кроме того, Cloud BI может предоставлять более детальные разрешения, такие, как //all_datasource_access//.
97 97  
98 -(% data-xwiki-non-generated-content="java.util.List" %)
99 -(((
100 -" class="xwiki-metadata-container">**Не рекомендуется **изменять базовые роли, поскольку существует набор допущений, на которых построен Cloud BI. Однако вы можете создавать свои собственные роли и объединять их с существующими.
101 -)))
102 -
103 103  {{error}}
104 104  **Не рекомендуется **изменять базовые роли, поскольку существует набор допущений, на которых построен Cloud BI. Однако вы можете создавать свои собственные роли и объединять их с существующими.
105 105  {{/error}}
... ... @@ -150,3 +150,59 @@
150 150  3. Поле предложения, которое может содержать произвольный текст, добавить к предложению WHERE сгенерированного оператора SQL. Таким образом, вы даже можете настроить фильтр //За последние 30 дней// и применить его к определенной роли с таким предложением, как {{code language="none"}}date_field > DATE_SUB(NOW(), INTERVAL 30 DAY){{/code}}. Фильтр также может поддерживать несколько условий: {{code language="none"}}client_id = 6{{/code}} И {{code language="none"}}advertiser="foo"{{/code}} и так далее.
151 151  
152 152  Все соответствующие фильтры безопасности на уровне строк будут объединены вместе (внутри различные предложения SQL объединяются с помощью операторов AND). Это означает, что можно создать ситуацию, когда две роли конфликтуют таким образом, что подмножество таблиц может быть пустым. Например, фильтры** **{{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, примененные к роли, приведут к тому, что пользователи этой роли будут иметь {{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, добавленные к их запросу, что никогда не может быть правдой.
145 +
146 +== Политика безопасности контента ==
147 +
148 +**Политика безопасности контента** — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая [[межсайтовые скриптинги>>https://wiki.dfcloud.ru/bin/view/Glossary/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9%20%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3]] (XSS) и атаки с внедрением данных.
149 +
150 +Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, будет выполнять только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов, игнорируя все остальные сценарии (включая встроенные сценарии и HTML-атрибуты обработки событий).
151 +
152 +Политика описывается с помощью ряда директив, каждая из которых описывает политику для определенного типа ресурса или области политики. Описание директив доступно по ссылке.
153 +
154 +Важно коррректно настроить политику безопасности контента при развертывании Cloud BI, чтобы предотвратить многие типы атак. Cloud BI предоставляет две переменные в config.py для развертывания:
155 +
156 +* {{code language="none"}}TALISMAN_ENABLED{{/code}} по умолчанию имеет значение //False//. Установите для этого параметра значение //True//
157 +* {{code language="none"}}TALISMAN_CONFIG{{/code}} содержит фактическое определение политики
158 +
159 +При работе в продуктивном режиме Cloud BI при запуске проверяет наличие настройки политики. Если она не будет найдена, то система выдаст предупреждение, что есть угроза безопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторы могут отключить это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}.
160 +
161 +=== Требования к политике безопасности контента ===
162 +
163 +Требования следующие:
164 +
165 +* Укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}}:
166 +
167 +{{code language="none"}}
168 +default-src 'self' 'unsafe-eval' 'unsafe-inline'
169 +{{/code}}
170 +
171 +* Некоторые дашборды загружают изображения с использованием URI данных:
172 +
173 +{{code language="none"}}
174 +img-src 'self' data:
175 +{{/code}}
176 +
177 +* Диаграммы MapBox используют воркеры и должны подключаться к серверам MapBox:
178 +
179 +{{code language="none"}}
180 +worker-src 'self' blob:
181 +connect-src 'self' https://api.mapbox.com https://events.mapbox.com
182 +{{/code}}
183 +
184 +Ниже пример {{code language="none"}}TALISMAN_CONFIG{{/code}}, который реализует вышеуказанные требования, использует {{code language="none"}}'self'{{/code}} для ограничения содержимого тем же источником, что и сервер Cloud BI, и запрещает устаревшие элементы HTML, устанавливая для {{code language="none"}}object-src{{/code}} значение {{code language="none"}}'none'{{/code}}.
185 +
186 +{{code language="none"}}
187 +TALISMAN_CONFIG = {
188 + "content_security_policy": {
189 + "default-src": ["'self'", "'unsafe-inline'", "'unsafe-eval'"],
190 + "img-src": ["'self'", "data:"],
191 + "worker-src": ["'self'", "blob:"],
192 + "connect-src": ["'self'", "https://api.mapbox.com", "https://events.mapbox.com"],
193 + "object-src": "'none'",
194 + }
195 +}
196 +{{/code}}
197 +
198 +== Сообщение об уязвимостях ==
199 +
200 +Если у вас есть опасения относительно безопасности Cloud BI или вы обнаружите уязвимость или потенциальную угрозу, свяжитесь с технической поддержкой Cloud BI. В письме настоятельно рекомендуется указать способ воспроизведения проблемы и показать пример. Техническая поддержка обязательно с вами свяжется после оценки и анализа результатов возникшей уязвимости.