権限:
すべてのユーザー(オーナー、管理者、コラボレーター、ゲスト)が該当します。
なぜサニタイジングが行われるよう変更されたのですか?
クロスサイトスクリプティング(XSS)攻撃は、ユーザーに深刻なダメージを与える可能性があります。アセットの説明や入力テキストに悪意のあるリンクが挿入され、それをクリックしてしまった場合、その行為によってユーザーやアセットのデータを盗み、ユーザーのプライベート情報を公開し、ユーザーが気づかないうちに機密情報を閲覧できる状態にされるなどの危険があります。
Open Worldwide Application Security Project(OWASP)によれば、「攻撃者はXSSを使用して、予期しないユーザーに悪意のあるスクリプトを送信することができます。エンドユーザーのブラウザは、スクリプトが信頼できないものであることを知る方法がなく、スクリプトを実行します。スクリプトが信頼できるソースから来たと思われるため、悪意のあるスクリプトは、ブラウザが保持し、そのサイトで使用する任意のクッキー、セッショントークン、または他の機密情報にアクセスすることができます。これらのスクリプトは、HTMLページの内容を書き換えることさえできます。」
堅牢で包括的なテキストの無害化ソリューションを追加したことで、これらの攻撃からあなたとアセットを保護します。メディアマネージャー内に悪意のあるリンクが挿入されたとしても、攻撃を受けることはありません。これらの変更は、最高レベルのセキュリティを提供し、メディアマネージャーが健全に運用可能であることを保障するために不可欠です。
実施された変更点
HTML入力フィールドに追加するアンカーリンクが影響を受けます。変更点は以下の通りです:
- HTML入力フィールドは、信頼できるドメインリストのアンカーリンクのみを受け入れます。
- リンクが信頼できるドメインリストにない場合、自動的に無害化されるか削除されます。
変更による影響
既存のHTMLアンカーリンクが、新しい基準を満たさなかった場合、HTMLフィールドを更新するまで影響はありません。HTMLフィールドを更新すると、以前の状態に戻すことはできず、メディアマネージャーはリンクを無害化または削除します。
基準を満たさない新しいHTMLリンクを追加することはできません。
影響を受ける箇所
影響を受けるエリアは、自分でアンカーリンクを追加できるHTML入力フィールドです。影響を受けるエリアには以下が含まれます:
- 組織の説明
- ライブラリーの説明
- ポータルの説明
- コレクションの説明
- ワークスペースの説明
- アセットの説明
- 利用規約
代替の方法
- 既存のHTMLリンクを編集しなければ、リンクはそのまま保持されます。
- ライブラリーのトップページの「リンク」ボタンからリンクを追加することができます。
- Mailto: リンクを使うことができます。
- 電話リンクを使用することができます。
- アセットモーダル内でアセットカードへのリンクを使用することができます。
- 多くの一般的なウェブサイトのドメインは引き続きサポートされますので、そのドメインのアンカーリンクは挿入できます。
- アンカーリンクとして使いたいドメインを許可リストへ追加してほしい場合には、エンタープライズソリューションサポートまたはメディアマネージャー担当へ連絡をください。
- 相対リンクは使用できます。
- URLをプレーンテキストとして貼り付けることができます。例えば: <a href="https://external_domain.com>CLICK ME</a>と入力する代わりに「利用ポリシーを確認するために https://external_domain.com を開く」と入力します。