Skip to main content

Systeem- en informatie-integriteit

Gebruikersinhoud beveiligen

Veilige HTML-filter voor de inhoudseditor

Gebruikers kunnen op verschillende manieren HTML invoeren op Blackboard. Ze kunnen bijvoorbeeld HTML invoeren met de inhoudseditor in blogs en discussieruimten, en via het uploaden van HTML-bestanden. In het verleden heeft dit een beveiligingsrisico met zich meegebracht dat gebruikers mogelijk gevaarlijke tags konden invoeren, zoals scripttags. Dergelijke tags kunnen worden gebruikt om kwaadaardige scripts in Blackboard uit te voeren, waardoor andere gebruikers worden blootgesteld aan aanvallen. Dit wordt cross-site scripting genoemd, waarmee een gebruiker controle heeft over andere gebruikersbrowsers.

Om door gebruikers aangeleverde HTML veiliger te maken in Blackboard en beheerders meer controle te geven over het type HTML dat studenten kunnen invoeren, vervangt de Safe HTML-module de eerdere HTML-sanitizer door de open-source beveiligingsbibliotheek van de AntiSamy API van het Open Web Application Security Project. De nieuwe API zorgt ervoor dat de door de gebruiker geleverde HTML voldoet aan de regels van de applicatie.

Veiligere bestanden

Bestanden renderen vanuit een alternatief domein

Het weergeven van door de gebruiker geüploade bestanden vanuit een alternatief domein is een diepgaande beveiligingscontrole. Door een stuk inhoud te uploaden dat mogelijk schadelijke scripts bevat, kan een gebruiker mogelijk een sessiekaping uitvoeren op de hoofdsessie van Blackboard zodra een doelgebruiker toegang heeft tot de betreffende inhoud.

Als methode ter bescherming tegen dit soort activiteiten hebben gebruikers nu toegang tot door de gebruiker geüploade bestanden via een alternatief domein en een afzonderlijke sessie die geen toegang heeft tot cookies van de primaire Blackboard-sessie van een gebruiker. Deze beveiligingscontrole maakt gebruik van de beveiligingsfuncties van de browser, namelijk het beleid van dezelfde oorsprong. Als gevolg hiervan worden schadelijke scripts in door gebruikers geüploade bestanden die in één domein of subdomein worden weergegeven, gescheiden van de cookies, en dus de sessie-informatie, van de primaire Blackboard-sessie.

Deze beveiligingscontrole is een extra laag in het beveiligingskader van Blackboard om gebruikers verder te beschermen tegen potentieel schadelijke bestanden die door de gebruiker zijn geüpload.

Uploadbeperkingen voor bestandstypen

Een preventieve beveiligingscontrole waarmee systeembeheerders kunnen definiëren welke typen bestanden en MIME-typen naar het systeem mogen worden geüpload en hoe hiermee moet worden omgegaan.

Anti-virus

Blackboard biedt nog geen ondersteuning voor antivirusscans voor bestanden die door gebruikers naar het systeem zijn geüpload. Deze functie staat op de roadmap voor productbeveiliging van Blackboard.

Opmerking

Alle verklaringen over toekomstige verwachtingen, plannen en vooruitzichten voor Blackboard vertegenwoordigen de standpunten van het bedrijf op 1 januari 2013. De werkelijke resultaten kunnen als gevolg van diverse belangrijke factoren wezenlijk verschillen. Het bedrijf verwacht dat latere gebeurtenissen en ontwikkelingen ertoe zullen leiden dat de standpunten van het bedrijf zullen veranderen. Hoewel het bedrijf zich het recht voorbehoudt om deze uitspraken in de toekomst aan te passen, kan dit nooit als verplichting jegens het bedrijf worden ingebracht.