Warum die Änderung?
Cross-Site-Scripting-Angriffe können gutmeinenden Benutzern schwerwiegende Schäden zufügen. Bösartige Links, die zu Asset-Beschreibungen oder anderen Texteingaben hinzugefügt werden, können verwendet werden, um Benutzerdaten und Assets zu stehlen, private Benutzerinformationen zu veröffentlichen und vertrauliche Informationen anzuzeigen, ohne dass der Benutzer dies bemerkt.
Laut dem Open Worldwide Application Security Project (OWASP) „kann ein Angreifer XSS verwenden, um einem ahnungslosen Benutzer ein bösartiges Skript zu senden. Der Browser des Endbenutzers kann nicht erkennen, dass das Skript nicht vertrauenswürdig ist , und führt das Skript aus. Da das bösartige Skript davon ausgeht, dass das Skript aus einer vertrauenswürdigen Quelle stammt, kann es auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Site verwendet werden. Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.“
Die hinzugefügte robuste und umfassende Textbereinigungslösung schützt Sie und Ihre Assets vor diesen Angriffen. So wird sichergestellt, dass Sie nicht Opfer bösartiger Links im Media Manager werden. Diese Änderungen sind unerlässlich, um Ihnen das höchste Maß an Sicherheit zu bieten und sicherzustellen, dass Media Manager intakt und betriebsbereit bleibt.
Vorgenommene Änderungen
Die größten Auswirkungen hat die Änderung auf HTML-Eingabefelder, in denen Sie Ihre eigenen Ankerlinks einfügen können. Zu den Änderungen gehören:
- HTML-Eingabefelder akzeptieren nur Ankerlinks aus einer Liste vertrauenswürdiger Domänen.
- Wenn ein Link nicht auf einer akzeptierten Liste steht, wird er automatisch bereinigt oder entfernt.
Auswirkungen der Änderung
Wenn Sie vorhandene HTML-Ankerlinks haben, die den neuen Standards nicht entsprechen , bleiben diese unberührt, bis Sie das HTML-Feld aktualisieren. Sobald Sie das HTML-Feld aktualisiert haben, können Sie es nicht mehr in seinen vorherigen Zustand zurückversetzen und Media Manager bereinigt oder entfernt den Link.
Wenn Sie versuchen, neue HTML-Links hinzuzufügen, die den Standards nicht entsprechen, ist Ihnen dies nicht möglich.
Betroffene Produktbereiche
Der betroffene Bereich sind die HTML-Eingabefelder, in denen Sie Ihre eigenen Ankerlinks hinzufügen können. Zu den betroffenen Bereichen gehören:
- Organisationsbeschreibungen
- Bibliotheksbeschreibungen
- Portalbeschreibungen
- Slogans für Sammlungen
- Slogans für Arbeitsbereiche
- Anlagenbeschreibungen
- Nutzungsvereinbarungen
Alternative Methoden
- Sie können sich dafür entscheiden, vorhandene HTML-Links nicht zu bearbeiten, sodass sie intakt bleiben.
- Sie können Links über Schaltflächen auf der Anzeigeseite der Bibliothek hinzufügen.
- Sie können E-Mail-Links einfügen.
- Sie können Telefonverbindungen verwenden.
- Sie können im Asset-Modal den Link zur Asset-Karte verwenden.
- Viele Domänen für gängige Websites werden weiterhin unterstützt, Sie können also versuchen, deren Ankerlinks einzufügen.
- Sie können die Aufnahme Ihrer Domäne in die Zulassungsliste beantragen, indem Sie sich an den Enterprise Solutions Support oder Ihren zuständigen Media Manager-Kontakt wenden.
- Sie können relative Links verwenden.
- Sie können die URL als einfachen Text einfügen. Beispiel:
- Anstatt <a href ="https://external_domain.com> KLICKEN SIE MICH</a> einzugeben
- Geben Sie ein: Besuchen Sie https://external_domain.com, um unsere Richtlinien anzuzeigen.