اختبار الأمان

تحرص Blackboard على إجراء اختبار أمان داخلي متواصل على مستوى الرمز (التحليل الثابت) ومستوى التطبيق (التحليل الديناميكي) لضمان استيفائه توقعات Blackboard وتوقعات عملائنا. فضلاً عن ذلك، للحصول على عمليات مراقبة مستمرة ومحدَّثة على التطبيقات، تحصل Blackboard على اختبار اختراق أمني من مورّدي خدمات أمنية خارجيين. ومن المقرر أن تخضع أي مشكلات يتم رصدها للإصلاح على وجه السرعة.

اختبار أمان التطبيق الثابت

تستفيد Blackboard من برامج مسح التحليل الثابت مفتوحة المصدر والتجارية لتقييم رمز مصدر Blackboard Learn باستمرار. تُتيح هذه الأدوات إلى Blackboard إمكانية تحديد نقاط الضعف المُحتمَلة في الرمز المصدر في ظل تطور النظام من خلال التكامل مع بيئات البناء. تدمج Blackboard التحليل التلقائي للرمز المصدر لنقاط الضعف الأمنية ومراجعات الرمز اليدوية.

اختبار أمان التطبيق المتغيّر

تستفيد Blackboard من برامج مسح التحليل المتغيّر مفتوحة المصدر والتجارية لتقييم تطبيق Blackboard Learn باستمرار. ويختبر برنامج فحص الأمان التلقائي نقاط الضعف الشائعة في تطبيقات الويب من وجهة نظر المستخدم النهائي.

اختبار الاختراق اليدوي

لا يمكن لأدوات أمان التطبيقات الثابتة والمتغيّرة اكتشاف جميع مشكلات الأمان. وللعمل على التخفيف من مخاطر الأمان، تُجري Blackboard اختبار الاختراق اليدوي لتحديد نقاط الضعف الأمنية الأكثر تعقيدًا ومشكلات منطق تسلسل العمل مثل التفويض غير الصحيح.

Security updates and advisories

Blackboard is committed to the timely identification, communication, and resolution of security vulnerabilities identified in our products. Blackboard publishes security patches and advisories through Behind the Blackboard.

Security Advisories are released with the following information:

  • Advisory ID - for Knowledge Base tracking purposes
  • Title - Brief description of affected area
  • Issue Date
  • Severity

Advisories are followed by a vulnerability overview detailing the nature of the security vulnerability, a functional issue overview which describes how the system may be affected, a list of product version(s) affected, description of discovery, and a description of the solution with a link to applicable patches. Blackboard also tracks and advises our clients of any known exploitation or malicious use of security vulnerabilities. The mitigations and workarounds section describes any mitigations clients may take or if a workaround is available. If there are multiple revisions to an advisory, a short summary of the update is provided.

Security vulnerability scoring

Blackboard follows the industry standard of CVSSv2 (Common Vulnerability Scoring System Version 2.0) as a guideline. Customers may use our severity ratings as a guideline to help classify the impact of security issues found in Blackboard Learn. It is based on average usage, since not all vulnerabilities have equal impact on all users - for example, customers might not have the affected module enabled, or its use of the module may not contain as critical information as another customer.

Input Validation Filter

The Input Validation Filter acts as a first line of defense with configurable rules to protect Blackboard Learn. It is, in a sense, like a firewall for Blackboard Learn. It verifies that user requests coming in are safe by sanitizing the data through a default ruleset.

إعداد النطاق البديل

المجال البديل

يعد عرض الملفات التي تم تحميلها بواسطة المستخدم من مجال بديل بمثابة تحكم أمان دفاعي متعمق. عن طريق تحميل جزء من المحتوى الذي يشتمل على برامج نصية يُحتمل أن تكون ضارة، يمكن للمستخدم إجراء عملية تطفل للجلسة على جلسة Blackboard Learn الرئيسية بمجرد أن يقوم المستخدم الهدف بالوصول إلى المحتوى المتضرر.

وكطريقة للحماية من هذا النوع من الأنشطة، يمكن للمستخدمين الآن الوصول إلى الملفات التي تحميلها بواسطة المستخدم وإضافة HTML مخصص عبر مجال بديل. حيث يستفيد عنصر التحكم الأمني هذا من ميزات الأمان في المستعرض، والتي تسمى "سياسة نفس الأصل". ونتيجة لذلك، يتم فصل البرامج النصية الضارة الموجودة داخل الملفات التي يحمّلها المستخدم والتي يتم عرضها في مجال أو مجال فرعي واحد عن ملفات تعريف الارتباط، وبالتالي عن معلومات الجلسة، والمتمثلة في جلسة Blackboard Learn الرئيسية.

يشكل عنصر التحكم الأمني هذا طبقة دفاعية أخرى في إطار عمل أمان Blackboard لتوفير مزيد من الحماية للمستخدمين من الملفات التي يحتمل أن تكون ضارة والتي يتم تحميلها بواسطة المستخدم.

توصي Blackboard بأن يقوم المسؤولون بتكوين عنصر التحكم الأمني هذا على جميع عمليات تنفيذ Blackboard Learn التي يقومون بها. ويعد ذلك أفضل الممارسات الأمنية لدى Blackboard.

مجال منفصل لعرض المحتوى

يوفر المجال أو المجال الفرعي المنفصل طريقة أكثر أمانًا للوصول إلى الملفات التي تم تحميلها بواسطة المستخدم من خادم Blackboard Learn. ويساعد هذا المجال المنفصل في منع استخدام المحتوى الذي تم تحميله بواسطة المستخدم، والذي يحتوي على برنامج نصي ضار، لخرق جلسة Blackboard Learn الخاصة بالمستخدم، ومن ثم بيانات المستخدم. ومن خلال تكوين مجال منفصل أو مجال فرعي منفصل، يتم نقل كل المحتوى من المجال الأصلي إلى المجال المنفصل، والذي يمثل بشكل أساسي إعادة توجيه المحتوى إلى المجال المنفصل. بالنسبة للمستخدم، تتسم هذه العملية بسلاسة تامة.

في حالة احتواء الملف المرفوع بواسطة المستخدم على برامج نصية ضارة لتنفيذ عملية تطفل على الجلسة، فإن عناصر التحكم الأمنية في المتصفح، وبالتحديد "same-origin policy" (سياسة نفس الأصل)، تساعد في منع الملف المستخدم الذي يعرض الجلسة من الوصول إلى جلسة المستخدم الرئيسية. يتم استخدام الجلسة الرئيسية للمستخدم لنشاط، مثل إجراء التقييمات، وعرض التقديرات، وما إلى ذلك. وبالتالي، سيتم تقسيم الهجوم وسيكون التأثير محدودًا. على الرغم من أن المهاجمين قد يتمكنون من الوصول إلى المحتوى الذي لا يستطيعون الوصول إليه عادةً، فإنهم لن يتمكنوا من الوصول إلى جلسة الضحية الأساسية أو عبر الموقع بالكامل.

ملاحظات خاصة

سيستجيب خادم Blackboard Learn الموجود على اسم المضيف البديل فقط لطلبات webdav.

يتعذر استخدام أي تثبيت لـ Blackboard Learn يستجيب لطلب على اسم المضيف البديل لأداء وظائف Blackboard Learn العادية. ونتيجة لذلك، يتعذر على العلامات التجارية وأسماء مضيفي الملفات البديلة المشابهة الأخرى استخدام نفس اسم المضيف على أنه مجال الملف.

يرجى عرض قسم "إدارة تكوين اسم المضيف" في ملاحظات الإصدار لمراجعة اسم المضيف لديك. 

يتم تكوين معلومات المجال البديل مسبقًا عند قيامك بتمكين المجال البديل. نوصي بعدم تغيير هذه القيم المكونة مسبقًا، لأن Blackboard لا يدعم سوى مجال بديل واحد. إذا كنت تريد تغيير القيم المكونة مسبقًا، يمكنك اختيار استخدام:

  • blackboard.com
  • مجال موقعك في حالة استخدامك لعنوان URL مخصص

تمكين مجال بديل لمعالجة المحتوى

عند إعداد مجال منفصل، لا تستخدم أسماء المضيفين التي أعددتها للعلامات التجارية. إذا قمت بذلك، فلن تعمل علاماتك التجارية على نحو ملائم.

  1. انتقل إلى لوحة المسؤولين > الأمان > المجال البديل لخدمة المحتوى.
  2. حدد المربع لتمكين المجال البديل لمعالجة المحتوى.
  3. تتم تعبئة المعلومات بمحتوى تم تكوينه مسبقًا.

    نوصي بعدم تغيير هذه القيم المكونة مسبقًا، لأن Blackboard لا يدعم سوى مجال بديل واحد. إذا كنت تريد تغيير القيم المكونة مسبقًا، يمكنك اختيار استخدام blackboard.com، أو مجال موقعك في حالة استخدامك لعنوان URL مخصص.

  4. حدد إرسال.

إذا فشل تحميل تأليف HTML بعد تكوين المجال البديل، يرجى استشارة قسم الدعم للتأكد من أن مجالات البيئة لديك قد تم إعدادها وتكوينها بشكل صحيح. راجع إعدادات تكوين اسم المضيف لديك ضمن لوحة المسؤولين > الأمان > تكوين اسم المضيف

إيقاف تشغيل المجال البديل لمعالجة المحتوى

  1. انتقل إلى لوحة المسؤولين > الأمان > المجال البديل لخدمة المحتوى.
  2. حدد المربع لإيقاف تشغيل المجال البديل لمعالجة المحتوى.
  3. حدد إرسال.

إضافة HTML

إضافة HTML أو CSS مخصص

في طريقة عرض Ultra للمقرر الدراسي، عند تمكين مجال بديل لموقعك، يمكنك الآن استخدام HTML أو CSS مخصص في مستند.  حدد إضافة HTML ككتلة جديدة من أجل تضمين محرر HTML داخلي تابع لجهة خارجية في المستند.  يمكنك كتابة تعليمة HTML البرمجية أو لصقها في المحرر، وحدد حفظ. سيتم إرسال HTML التي تم تشفيرها إلى Learn ضمن BbML لضمان الاستمرارية. ستتم الإشارة إلى HTML في BbML بنوع BB جديد قائم على البيانات. إذا قمت بتحميل BbML تم إنشاؤه مسبقًا ، ويحتوي على HTML في وضع القراءة فقط، فسيتم تحميل HTML من مجال منفصل في iframe.

تعالج حزمة CodeEditor الجديدة كافة عمليات الاستيراد المطلوبة من قِبل محرر الجهة الخارجية، بالإضافة إلى قيامها بتوحيد عمليات تكوين المحرر. وإلا ستلتف الحزمة ببساطة بطريقة المحرر لإدخال نفسها في عنصر DOM. إن التوجيهات والإضافات التي تقوم بتضمين المحرر في الصفحة ستعتمد على الحزمة.

 

Your institution must have an alternate domain configured and the Course Role needs to have the Add/Edit embedded content with scripts into iframe for this feature to work. In an effort to support more enhanced security and to maintain the responsiveness of the Ultra Experience, we've used an existing solution in Learn to support this capability. If you already have an alternate domain configured, your instructors have access to add HTML in Ultra Course View documents. 

If the HTML authoring fails to load after configuring the alternate domain, please engage with support to ensure that your environment domains are setup and configured correctly.