Testes e suporte de segurança
Teste de segurança
A Blackboard executa testes contínuos de segurança interna no nível de código (análise estática) e no nível de aplicativo (análise dinâmica) para garantir que atenda às expectativas da Blackboard e de nossos clientes. Além disso, para monitorar com frequência o aplicativo, a Blackboard obtém testes de penetração de segurança de fornecedores de segurança. Quaisquer problemas identificados são rapidamente designados para reparo.
Teste de segurança de aplicativos estáticos
A Blackboard utiliza scanners de análise estática comerciais e de fonte aberta para avaliar continuamente o código-fonte do Blackboard. Essas ferramentas permitem que a Blackboard identifique potenciais vulnerabilidades no código-fonte à medida que o sistema evolui por meio da integração com ambientes de compilação. A Blackboard associa a análise automatizada de código-fonte para vulnerabilidades de segurança com análises manuais de código.
Teste dinâmico de segurança de aplicativos
A Blackboard utiliza scanners de análise dinâmica comerciais e de fonte aberta para avaliar continuamente o aplicativo Blackboard. Os mecanismos automatizados de varredura de segurança testam vulnerabilidades comuns de aplicativos da web do ponto de vista do usuário final.
Teste de penetração manual
As ferramentas de segurança estática e dinâmica de aplicativos não detectam todos os problemas de segurança. Para reduzir ainda mais o risco, a Blackboard executa testes manuais de penetração para identificar vulnerabilidades de segurança mais complexas e problemas de lógica de negócios, como autorização imprópria.
Atualizações e avisos de segurança
A Blackboard está comprometida com a identificação, comunicação e resolução oportunas de vulnerabilidades de segurança identificadas em nossos produtos. A Blackboard publica patches e avisos de segurança por meio do Anthology Global Support.
Os avisos de segurança são divulgados com as seguintes informações:
ID do Comunicado – para fins de rastreamento da Base de Dados de Conhecimento
Título – Breve descrição da área afetada
Data de emissão
Gravidade
Os avisos são seguidos por uma visão geral da vulnerabilidade detalhando a natureza da vulnerabilidade de segurança, uma visão geral do problema funcional que descreve como o sistema pode ser afetado, uma lista de versões do produto afetadas, descrição da descoberta e uma descrição da solução com um link para as atualizações cumulativas aplicáveis. A Blackboard também rastreia e avisa nossos clientes sobre qualquer exploração conhecida ou uso mal-intencionado de vulnerabilidades de segurança. A seção de mitigações e soluções alternativas descreve todas as mitigações que os clientes podem fazer ou se uma solução alternativa está disponível. Se houver várias revisões em um comunicado, um breve resumo da atualização será fornecido.
Pontuação de vulnerabilidade de segurança
A Blackboard segue o padrão do setor CVSSv2 (Common Vulnerability Scoring System Versão 2.0) como diretriz. Os clientes podem usar nossas classificações de gravidade como uma diretriz para ajudar a classificar o impacto dos problemas de segurança encontrados no Blackboard. Baseia-se no uso médio, pois nem todas as vulnerabilidades têm o mesmo impacto em todos os usuários – por exemplo, os clientes podem não ter o módulo afetado habilitado ou o uso do módulo pode não conter informações tão críticas quanto outro cliente.
Filtro de validação de entrada
O Filtro de validação de entrada atua como uma primeira linha de defesa com regras configuráveis para proteger o Blackboard Learn. É, de certa forma, como um firewall para o Blackboard. Ele verifica se as solicitações do usuário que entram estão seguras, corrigindo os dados por meio de um conjunto de regras padrão.
Configuração de domínio alternativo
Domínio alternativo
Renderizar arquivos carregados pelo usuário de um domínio alternativo é um controle de segurança de defesa em profundidade. Ao fazer upload de um conteúdo contendo scripts potencialmente maliciosos, um usuário pode executar o sequestro de sessão na sessão principal do Blackboard assim que um usuário-alvo acessar o conteúdo afetado.
Como método de proteção contra esse tipo de atividade, os usuários agora podem acessar arquivos carregados pelo usuário e adicionar HTML personalizado por meio de um domínio alternativo. Este controle de segurança potencializa os recursos de segurança do navegador, ou seja, a “política de mesma origem”. Como resultado, scripts maliciosos em arquivos carregados pelo usuário que são exibidos em um domínio ou subdomínio são segregados dos cookies e, portanto, das informações da sessão principal do Blackboard.
Este controle de segurança é outra camada defensiva na estrutura de segurança da Blackboard para proteger ainda mais os usuários de arquivos potencialmente maliciosos carregados por usuários.
A Blackboard recomenda que os administradores configurem esse controle de segurança em todas as suas implementações do Blackboard. Esta é uma prática recomendada de segurança da Blackboard.
Domínio separado para exibição de conteúdo
Um domínio ou subdomínio separado fornece uma maneira mais segura de acessar arquivos carregados pelo usuário a partir de um servidor do Blackboard Learn. Este domínio separado ajuda a evitar que conteúdos carregados pelo usuário contendo scripts maliciosos sejam usados para comprometer a sessão do Blackboard Learn de um usuário e, portanto, os dados do usuário. Com um domínio ou subdomínio separado configurado, todo o conteúdo é entregue do domínio original para o domínio separado, basicamente encaminhando o conteúdo para o domínio separado. Para o usuário, esse processo é totalmente imperceptível.
No caso de um arquivo carregado pelo usuário conter scripts maliciosos para executar o sequestro de sessão, os controles de segurança do navegador, ou seja, a “política de mesma origem”, ajudam a evitar que a sessão de renderização de arquivo do usuário acesse a sessão primária do usuário. A sessão primária do usuário é usada para atividades como fazer avaliações, ver notas e assim por diante. Assim, o ataque seria compartimentado e o impacto limitado. Embora os invasores possam obter acesso a conteúdos que normalmente não tinham, eles não obterão acesso à sessão primária da vítima ou a todo o site.
Notas especiais
O servidor Blackboard localizado no nome de host alternativo responderá apenas às solicitações webdav.
Qualquer instalação do Blackboard que responda a uma solicitação no nome de host alternativo não pode ser usada para executar funções normais do Blackboard. Como resultado, marcas e outros nomes de host de arquivo alternativo semelhantes não podem usar o mesmo nome de host do domínio do arquivo.
As informações de domínio alternhabilitado são pré-configuradas quando você habilita o domínio alternhabilitado. Recomendamos não alterar esses valores pré-configurados, uma vez que o Blackboard oferece suporte apenas a um domínio alternativo. Se você quiser alterar os valores pré-configurados, poderá optar por usar:
blackboard.com
o domínio do seu site se você usar um URL personalizado
Habilitar domínio alternhabilitado para veiculação de conteúdo
Atenção
Ao configurar um domínio separado, não use nomes de host que você configurou para marcas. Se você fizer isso, suas marcas não funcionarão corretamente.
Navegue até Painel do administrador > Segurança > Domínio alternativo para fornecimento de conteúdo.
Clique em a caixa para habilitar Domínio alternhabilitado para fornecimento de conteúdo.
As informações são preenchidas com conteúdo pré-configurado.
Nota
Recomendamos não alterar esses valores pré-configurados, uma vez que o Blackboard oferece suporte apenas a um domínio alternativo. Se você quiser alterar os valores pré-configurados, poderá optar por usar blackboard.com ou o domínio do seu site se usar um URL personalizado.
Clique em Enviar.
Importante
Se a criação de HTML falhar ao carregar após configurar o domínio alternativo, entre em contato com o suporte para garantir que os domínios do seu ambiente estejam instalados e configurados corretamente. Analise suas configurações de nome de host em Painel do administrador > Segurança > Configuração do nome de host
Desativar o domínio alternativo para veiculação de conteúdo
Navegue até Painel do administrador > Segurança > Domínio alternativo para fornecimento de conteúdo.
Marque a caixa para desativar Domínio alternativo para veiculação de conteúdo.
Clique em Enviar.
Adicionar HTML
Adicionar HTML ou CSS personalizado
Na visualização Ultra do curso, ao habilitar um domínio alternhabilitado para seu site, agora você pode usar HTML ou CSS personalizado em um documento. Selecione Adicionar HTML como um novo bloco para incorporar um Editor HTML embutido de terceiros no documento. Você pode escrever ou colar código HTML no Editor e selecionar Salvar. O HTML codificado será enviado para o Blackboard no BbML para persistência. O HTML será indicado no BbML com um novo data-bbtype. Se você carregar o BbML criado anteriormente contendo HTML no modo somente leitura, o HTML será carregado de um domínio separado em um iframe.
Um novo pacote CodeEditor lida com todas as importações exigidas pelo Editor de terceiros e padroniza as configurações do Editor. Caso contrário, o pacote simplesmente encapsulará o método do editor para injetar-se em um elemento DOM. Diretivas e plug-ins que incorporam o Editor na página dependerão do pacote.
Sua instituição deve ter um domínio alternativo configurado e a Função do curso precisa ter o Adicionar/Editar conteúdo incorporado com scripts no iframe para que esse recurso funcione. Em um esforço para oferecer suporte a uma segurança mais aprimorada e manter a capacidade de resposta da experiência Ultra, usamos uma solução existente na Blackboard para oferecer suporte a esse recurso. Se você já tiver um domínio alternativo configurado, seus instrutores terão acesso para adicionar HTML em documentos com visualização Ultra do curso.
Importante
Se a criação de HTML não for carregada após a configuração do domínio alternativo, entre em contato com o suporte para garantir que os domínios do ambiente estejam configurados corretamente.