Betere beveiliging voor het laden van Zenya in het frame van een externe webapplicatie
Bij Infoland staat informatiebeveiliging en privacy hoog op de agenda. Je moet er altijd op kunnen vertrouwen dat de gegevens van jouw organisatie, persoonsgegevens in het bijzonder, veilig zijn. Dit betekent dat we continue bezig zijn met het verbeteren van de veiligheid van ons platform en producten. Het resultaat hiervan is de onderstaande verbetering.
Op dit moment maken sommige organisaties gebruik van de mogelijkheid om een pagina uit Zenya of een van de Zenya Cloud Services te laden in het frame van een externe webapplicatie. Hierbij kun je bij Zenya denken aan een Intranet of bijvoorbeeld een EPD/ECD. Voor Zenya Cloud Services kun je denken aan het aanbieden van een extern formulier, of het tonen van een webshare document, op de website van je organisatie.
Tot Zenya 7.0 was het enkel mogelijk om dit voor alle externe websites toe te staan.
Laden van Zenya Cloud Services in het frame van een externe webapplicatie
In Zenya 7.0 voegen we daarom het zogenaamde frame-ancestors attribuut toe aan de Content Security Policy (CSP) van de onderstaande Zenya Cloud Services zodat deze toegang kan worden beperkt.
- Zenya DOC – Webshares
- Zenya CHECK – Externe vragenlijsten
- Zenya FLOW – Externe formulieren
Het frame-ancestors attribuut geeft aan of de desbetreffende webpagina mag worden ingeladen in o.a. een frame van een andere website. Door dit te beperken kunnen aanvallers een webpagina niet meer inladen binnen hun eigen kwaadaardige site. Dit biedt met name bescherming tegen de Clickjacking aanvalstechniek.
Er zijn echter gevallen waarbij je als organisatie juist wel wilt toestaan dat een webpagina van de Zenya Cloud Services kan worden ingeladen in een externe webapplicatie. Denk bijvoorbeeld aan het aanbieden van een extern formulier, of het tonen van een webshare document, op de website van je organisatie.
Om te voorkomen dat jullie organisatie na de uitrol van de Zenya 7.0 update in de problemen komen, geven we in eerste instantie het frame-ancestors attribtuut de waarde *. Dit staat nog steeds toe dat de webpagina wel mag worden ingeladen in o.a. een frame van een andere website, het biedt dus effectief nog geen bescherming.
In Zenya 7.1 willen we de beveiliging die frame-ancestors biedt daadwerkelijk gaan activeren door het attribuut de waarde ‘self’ te geven ipv de *.
Voor organisaties die aan ons kenbaar hebben gemaakt welke website(s) ook moeten worden toegestaan zullen we deze tevens toevoegen aan de het frame-ancestors attribuut (de waarde van het attribuut is nl. organisatiespecifiek).
Mocht je organisatie dus een of meerdere van bovenstaande Zenya Cloud Services willen kunnen inladen binnen een andere website, neem dan contact op met onze servicedesk zodat we deze website(s) kunnen registreren in de Zenya van jullie organisatie.
Laden van een Zenya pagina in het frame van een externe webapplicatie
In Zenya 7.0 maken we het mogelijk dat specifieke websites kunnen worden toegevoegd aan het frame-ancestors attribuut in de Content Security Policy (CSP) van Zenya zelf.
Het frame-ancestors attribuut geeft aan of de desbetreffende webpagina mag worden ingeladen in o.a. een frame van een andere website. Door dit te beperken kunnen aanvallers een webpagina niet meer inladen binnen hun eigen kwaadaardige site. Dit biedt met name bescherming tegen de Clickjacking aanvalstechniek.
De standaard instelling van Zenya (ook voor 7.0) was al dat het laden van Zenya in een externe webapplicatie niet was toegestaan.
Bovenstaande verbetering is dus enkel van toepassing op organisaties die in het verleden bij ons expliciet hebben aangegeven dat Zenya in een externe webapplicatie moet worden kunnen geladen. Deze specifieke organisaties zijn inmiddels ook al door Infoland per mail benaderd om bovenstaande verbetering te activeren.
Voor organisaties die dus niet door ons zijn benaderd is geen actie vereist.