13.7.3. Nouvelles propriétés de sécurité
De nouvelles propriétés système ont été ajoutées à la fonctionnalité d'audit de sécurité pour les versions de JBoss EAP 6.2.2 et versions ultérieures. Ces nouvelles propriétés atténuent les problèmes de sécurité autour des enregistrements de texte brut de composants de requêtes de provenance web, en particulier dans les scénarios impliquant des authentifications basée BASIC ou FORM.
Les nouvelles propriétés permettent un meilleur contrôle des composants sur lesquels une requête web est capturée dans les journaux d'audit (paramètres, cookies, en-têtes ou attributs). Ces composants peuvent également être masqués à l'aide des nouvelles propriétés.
Les nouvelles propriétés sont les suivantes :
Tableau 13.1. Nouvelles propriétés de sécurité
| Nom | Description | Valeurs possibles | Comportement | Par défaut |
|---|---|---|---|---|
org.jboss.security.web.audit | Cette propriété contrôle la granularité de l'auditing de sécurité des requêtes web. | off, headers, cookies, parameters, attributes | Tout composant (ou groupe de composants séparés par des virgules) spécifié sera audité à partir des requêtes web. | headers,parameters |
org.jboss.security.web.audit.mask | Cette propriété peut être utilisée pour indiquer une liste de chaînes qui puissent correspondre à des en-tête, des paramètres, des cookies, et des attributs de requêtes web. Tout élément correspondant aux masques indiqués sera exclus de la journalisation d'audit de sécurité. | Toute chaîne séparée par des virgules utilisant des en-tête de clé, des paramètre, des cookies ou des attributs. | Actuellement, la mise en correspondance des masques est vague, non précise. Ainsi, un masque d' authorization masquera à la fois l'en-tête nommé authorization et le paramètre nommé custom_authorization. Il est possible qu'il y ait des masques plus stricts (précis) dans une version à venir. | j_password,authorization |
