Skip to main content

시스템 및 정보의 무결성

사용자 콘텐츠 보안

콘텐츠 편집기를 위한 안전한 HTML 필터

사용자는 다양한 방법으로 Blackboard에 HTML을 입력할 수 있습니다. 예를 들어, 사용자는 블로그 및 토론 게시판의 콘텐츠 편집기와 HTML 파일 업로드를 통해 HTML을 입력할 수 있습니다. 과거에는 사용자가 스크립트 태그와 같이 잠재적으로 위험한 태그를 입력할 수 있다는 보안 위협이 있었습니다. 이러한 태그는 Blackboard에서 악성 스크립트를 실행하여 다른 사용자를 공격에 노출시키는 데 사용할 수 있습니다. 이를 크로스 사이트 스크립팅이라고 하며, 이를 통해 사용자는 다른 사용자 브라우저를 제어할 수 있습니다.

사용자가 제공한 HTML을 Blackboard에서 보다 안전하게 사용할 수 있도록 하고, 학생들이 입력할 수 있는 HTML 유형을 관리자가 더 세부적으로 제어할 수 있도록 하기 위해, Safe HTML 빌딩 블록은 기존 HTML 정화 기능을 Open Web Application Security Project의 AntiSamy API 기반 오픈 소스 보안 라이브러리로 대체합니다. 새 API는 사용자가 제공한 HTML이 애플리케이션 규칙을 준수하도록 보장합니다.

전송을 위해, 모든 문서는 '2023년 04월 01일'까지 암호화해야 합니다.

대체 도메인의 파일 렌더링

대체 도메인에서 사용자가 업로드한 파일을 렌더링하는 것은 심층 방어 보안 조치입니다. 악의적인 스크립트를 포함한 콘텐츠를 업로드할 경우, 사용자가 해당 콘텐츠에 접근하면 기본 Blackboard 세션에서 세션 하이재킹이 발생할 수 있습니다.

사용자는 이제 보호 방법으로 대체 도메인과 사용자의 기본 Blackboard 세션에서 쿠키에 접근할 수 없는 별도의 세션을 통해 업로드한 파일에 접근할 수 있습니다. 이 보안 제어는 브라우저의 보안 기능인 동일 출처 정책을 활용합니다. 그 결과, 특정 도메인 또는 하위 도메인에서 렌더링되는 사용자가 업로드한 파일 내의 악성 스크립트는 기본 Blackboard 세션의 쿠키 및 세션 정보로부터 분리됩니다.

이 보안 제어는 사용자를 잠재적으로 악의적인 사용자가 업로드한 파일로부터 추가로 보호하기 위한 Blackboard 보안 프레임워크의 또 다른 방어 계층입니다.

업로드 파일 형식 제한

시스템 관리자가 시스템에 업로드할 수 있는 파일 유형 및 MIME 유형과 처리 방법을 정의할 수 있게 하는 예방적 보안 제어입니다.

소프트웨어는 컴퓨터 바이러스를 탐지하고 제거하는 중요한 도구입니다.

블랙보드는 사용자가 시스템에 업로드한 파일을 바이러스 검사하는 기능을 아직 지원하지 않습니다. 이 기능은 Blackboard 제품의 보안 로드맵에 포함되어 있습니다.

참고

Blackboard에 대한 향후 기대, 액션 플랜 및 전망에 대한 모든 진술은 2013년 1월 1일 현재 회사의 견해를 나타냅니다. 실제 결과는 다양한 중요 요인에 따라 크게 달라질 수 있습니다. 회사는 후속 사건 및 발전으로 인해 회사 견해가 바뀔 것으로 예상합니다. 그러나 회사는 향후 어느 시점에 이 진술을 업데이트할 수 있는 선택권을 가지고 있지만, 업데이트할 의무가 없음을 명시적으로 부인합니다.