Estás leyendo la publicación: Cómo deshabilitar la política de seguridad de contenido de Magento 2
Magento 2 se esfuerza constantemente por ofrecer una plataforma segura para los negocios en línea y cada versión de Magento 2 es una fuente de mejoras de seguridad y de rendimiento.
Los nuevos lanzamientos de Magento vienen con características interesantes y mejoras de seguridad para los propietarios de tiendas.
Sin embargo, la Política de seguridad de contenido que se introdujo como parte de las mejoras de seguridad de Magento 2 inquietó a muchos propietarios de tiendas con mensajes de error en la consola o advertencias sobre la política de seguridad de contenido.
Solo sabría esto si ya se ha actualizado a la última versión de Magento 2. Si no, ¡descargue Magento 2.4.6 AHORA!
Repasaremos todo el tema y todo lo relacionado con el
Política de seguridad de contenido de Magento 2 en esta publicación
CSP se implementa en Magento 2.3.5 con el objetivo de ofrecer una capa adicional de defensa para detectar y mitigar el Cross-Site Scripting y sus ataques de inyección de datos relacionados.
La política de seguridad de contenido funciona de dos modos:
- informe – solo – Magento informa de las infracciones de la política, pero no actúa en consecuencia. Se utiliza principalmente para la depuración. CSP funciona en este modo de forma predeterminada.
- modo restringido – Magento actúa en el caso de violaciones de políticas.
¡Todo se ve glorioso al leer sobre lo que pueden hacer las políticas de seguridad de contenido!
Pero la realidad me golpeó duro.
Y tú también.
Por eso querrías deshabilitar la política de seguridad de contenido de Magento 2 y la publicación te muestra cómo.
El problema que estamos tratando de resolver con la política de seguridad de contenido de Magento 2:
Los elementos poco éticos que intentan invadir la tienda Magento 2 tienen un ojo puesto en los datos confidenciales de sus clientes. El problema de seguridad más discutido actualmente es “Magecart”
El ataque Magecart es donde los piratas informáticos malintencionados se dirigen a los carritos de compras en línea para robar la información de pago de los clientes. Es un ataque a la cadena de suministro que se sabe que está activo desde 2016.
Un pirata informático de Magecart incrusta un fragmento de código Javascript, ya sea alterando el código fuente de Magento 2 o redirigiendo el carrito de compras mediante una inyección a un sitio web que aloja el malware.
Si los piratas informáticos obtienen acceso a su panel de administración de Magento 2 de alguna manera, pueden agregar etiquetas benignas utilizando la función Varios HTML de Magento para inyectar el código malicioso.
¡Este es el problema que pretende resolver Magento 2.3.5 CSP!
¿Por qué la política de seguridad de contenido de Magento 2.3.5 no es suficiente para detener Magecart o ataques similares?
CSP no se puede implementar en todo su potencial debido a la interfaz Javascript de Magento.
Hablando de Javascript en línea, Magento necesita permitir el “inseguro en línea” ya que JS en línea se usa masivamente en toda la plataforma. ¡Eso es lo que buscan los atacantes, es decir, la etiqueta
Aparte de esto, otro obstáculo es la evaluación insegura que no se puede desactivar. De acuerdo con la Documento de diseño arquitectónico CSP de Magento 2,
“Para permitir que los comerciantes usen listas blancas, tenemos que deshacernos de los controladores de eventos proporcionados a través de atributos HTML y atributos de estilo en nuestras plantillas. No hay forma de deshabilitar la evaluación insegura en este momento, ya que la usamos para los componentes de la interfaz de usuario y algunas de las bibliotecas front-end que empleamos la necesitan (como jQuery). Se debe crear una estrategia para eliminar el uso de eval() de los componentes de la interfaz de usuario”.
La política de seguridad de contenido implementa el enfoque de lista blanca, es decir, las funcionalidades principales funcionan bien solo con dominios incluidos en la lista blanca. Los desarrolladores pueden usar el marco extensible para incluir en la lista blanca cualquier dominio adicional.
Sin embargo, ya se señaló en la parte que la mayoría de los CSP de la lista blanca se pueden omitir, ya que tiene puntos finales JSONP que se pueden usar de manera inapropiada.
Según la investigación de Google, ¡el 95 % de las políticas de CSP se pueden eludir fácilmente!
¿Qué hacer ahora con Magento 2.3.5 CSP?
El método tradicional consiste en comprobar periódicamente todo el contenido del CMS de la página de pago con la copia autenticada original. ¡Cualquier cambio encontrado puede ser de su equipo o de una fuente ética o su tienda ha sido atacada!
Pero por ahora, estoy publicando el método para desactivar Magento 2 CSP.
Método para deshabilitar la política de seguridad de contenido de Magento 2:
Deshabilite el módulo Magento_Csp usando el siguiente comando:
módulo php bin/magento: deshabilitar Magento_Csp
|
módulo php bin/magento: deshabilitar Magento_Csp |
Eso es todo.
Comparta sus pensamientos sobre Magento CSP en la sección de comentarios a continuación.
Además, le agradecería que me ayudara a correr la voz sobre la publicación a través de las redes sociales.
Gracias.
