Skip to main content

Intégrité des systèmes et des informations

Sécurisation du contenu utilisateur

Filtre HTML sécurisé pour l'éditeur de contenu

Les utilisateurs peuvent saisir du code HTML dans Blackboard de différentes manières. Par exemple, les utilisateurs peuvent entrer du code HTML à l'aide de l'éditeur de contenu dans les blogs et les plates-formes de discussion, et par le biais de téléchargements de fichiers HTML. Dans le passé, cela a introduit une menace de sécurité dans la mesure où les utilisateurs pouvaient saisir des balises potentiellement dangereuses, telles que des balises de script. Ces balises peuvent être utilisées pour exécuter des scripts malveillants dans Blackboard, exposant ainsi d'autres utilisateurs à des attaques. C'est ce que l'on appelle le cross-site scripting, qui permet à un utilisateur de contrôler les navigateurs d'autres utilisateurs.

Pour rendre le code HTML fourni par l'utilisateur plus sûr à utiliser dans Blackboard et permettre aux administrateurs de Blackboard de mieux contrôler le type de code HTML que les étudiants peuvent saisir, le bloc de construction Filtre HTML sécurisé remplace l'ancien assainisseur HTML par la bibliothèque de sécurité (logiciel) libre issue de l'API AntiSamy de l'Open Web Application Security Project. La nouvelle interface de programmation d'application garantit que le code HTML fourni par l'utilisateur est conforme aux règles d'une application.

Des fichiers plus sûrs

Rendu de fichiers à partir d'un autre domaine

L'affichage des fichiers téléchargés par des utilisateurs depuis un domaine alternatif exige un contrôle de sécurité fiable. En téléchargeant un contenu contenant des scripts potentiellement malveillants, un utilisateur peut potentiellement pirater la session principale de Blackboard une fois qu'un utilisateur cible accède au contenu concerné.

Afin de se protéger contre ce type d'activité, les utilisateurs peuvent désormais accéder aux fichiers téléchargés par l'utilisateur via un domaine alternatif et une session distincte qui ne peut pas accéder aux cookies de la session principale de Mon Blackboard de l'utilisateur. Ce contrôle de sécurité exploite Mes fonctionnalités de sécurité du navigateur, à savoir la politique de même origine. Par conséquent, les scripts malveillants contenus dans les fichiers chargés par l'utilisateur et rendus dans un domaine ou un sous-domaine sont séparés des cookies, et donc des informations de session, de la session Blackboard principale.

Ce contrôle de sécurité renforce la sécurité de Blackboard grâce à une couche de défense supplémentaire afin de protéger encore mieux les utilisateurs contre les fichiers potentiellement malveillants téléchargés par des utilisateurs.

Restrictions de téléchargement de types de fichiers

Contrôle de sécurité préventif qui permet aux administrateurs système de définir les types de fichiers et les types MIME qui peuvent être chargés dans le système et comment ils doivent être gérés.

Antivirus

Blackboard ne prend pas encore en charge l'analyse antivirus des fichiers chargés par les utilisateurs dans le système. Cette fonctionnalité figure dans la feuille de route de sécurité des produits Blackboard.

Note

Toutes les déclarations concernant les attentes, les projets et les perspectives futurs de Blackboard reflètent le point de vue de la Société au 1er janvier 2013. Les résultats réels peuvent différer sensiblement en raison de divers facteurs importants. La Société prévoit que les événements et développements ultérieurs entraîneront un changement de point de vue de la Société. Toutefois, bien que la Société puisse, à terme, actualiser ces déclarations, elle décline expressément toute obligation de le faire.