Тестирование безопасности

Blackboard проводит постоянные внутренние проверки защиты на уровне кода (статический анализ) и приложения (динамический анализ), чтобы обеспечить соответствие как ожиданиям клиентов, так и ожиданиям Blackboard. К тому же, Blackboard заказывает тестирование на взлом у сторонних поставщиков услуг по обеспечению безопасности. Так мы уверены, что на наши приложения посмотрят свежим взглядом. Мы сразу же принимаемся за устранение всех выявленных проблем.

Статическое тестирование безопасности приложения

Для непрерывной проверки исходного кода Blackboard Learn используются инструменты статистического анализа как с открытым исходным кодом, так и коммерческие. Эти средства позволяют выявить возможные уязвимости в исходном коде в процессе интеграции системы со средами сборки. Blackboard сочетает автоматизированный анализ исходного кода для обнаружения уязвимостей системы безопасности с проверками кода вручную.

Динамическое тестирование безопасности приложения

Для непрерывной проверки исходного кода Blackboard Learn используются инструменты динамического анализа как с открытым исходным кодом, так и коммерческие. Инструменты автоматического анализа безопасности проверяют наличие общих уязвимостей веб-приложения в соответствии с требованиями конечного пользователя.

Ручное тестирование на взлом

Статические и динамические средства безопасности приложения не могут обнаружить все проблемы с безопасностью. Чтобы снизить дальнейшие риски безопасности, Blackboard выполняет ручное тестирование на взлом для выявления более сложных уязвимостей системы безопасности и проблем функционального кода, например неправильной авторизации.

Security updates and advisories

Blackboard is committed to the timely identification, communication, and resolution of security vulnerabilities identified in our products. Blackboard publishes security patches and advisories through Behind the Blackboard.

Security Advisories are released with the following information:

  • Advisory ID - for Knowledge Base tracking purposes
  • Title - Brief description of affected area
  • Issue Date
  • Severity

Advisories are followed by a vulnerability overview detailing the nature of the security vulnerability, a functional issue overview which describes how the system may be affected, a list of product version(s) affected, description of discovery, and a description of the solution with a link to applicable patches. Blackboard also tracks and advises our clients of any known exploitation or malicious use of security vulnerabilities. The mitigations and workarounds section describes any mitigations clients may take or if a workaround is available. If there are multiple revisions to an advisory, a short summary of the update is provided.

Security vulnerability scoring

Blackboard follows the industry standard of CVSSv2 (Common Vulnerability Scoring System Version 2.0) as a guideline. Customers may use our severity ratings as a guideline to help classify the impact of security issues found in Blackboard Learn. It is based on average usage, since not all vulnerabilities have equal impact on all users - for example, customers might not have the affected module enabled, or its use of the module may not contain as critical information as another customer.

Input Validation Filter

The Input Validation Filter acts as a first line of defense with configurable rules to protect Blackboard Learn. It is, in a sense, like a firewall for Blackboard Learn. It verifies that user requests coming in are safe by sanitizing the data through a default ruleset.

Настройка альтернативного домена

Альтернативный домен

Отображение файлов, загруженных пользователями из альтернативного домена, обеспечивает высокий уровень контроля безопасности. Загрузка элемента содержимого с потенциально вредоносным сценарием может привести к нарушению основного сеанса Blackboard Learn при открытии содержимого целевым пользователем.

Чтобы предотвратить этот тип деятельности, теперь можно открывать загруженные пользователями файлы и добавлять настраиваемые HTML-коды через альтернативный домен. Это средство контроля безопасности использует функции безопасности браузера, а именно «правило ограничения домена». При этом вредоносные сценарии в загруженных пользователем файлах, которые отображаются в одном домене или поддомене, отделяются от файлов cookie и, следовательно, от сведений основного сеанса Blackboard Learn.

Это средство контроля безопасности представляет собой еще один уровень инфраструктуры безопасности Blackboard, который обеспечивает защиту от потенциально вредоносных файлов, загруженных пользователями.

Мы рекомендуем администраторам настроить это средство контроля безопасности во всех версиях Blackboard Learn. Это необходимо из соображений безопасности.

Отдельный домен для отображения содержимого

Отдельный домен или поддомен обеспечивает более безопасный доступ к загруженным пользователями файлам с сервера Blackboard Learn. Этот отдельный домен предотвращает использование загруженного пользователями содержимого с вредоносным сценарием для взлома сеанса Blackboard Learn и раскрытия данных пользователя. Если настроить отдельный домен или поддомен, все содержимое из исходного домена будет передаваться в отдельный домен, то есть будет происходить направление содержимого в отдельный домен. Это никак не отразится на удобстве пользователей.

Если загруженный пользователем файл содержит вредоносные сценарии для нарушения сеанса, средства контроля безопасности браузера, в частности «правило ограничения домена», помешают сеансу отображения файла пользователя получить доступ к его основному сеансу. Основной сеанс пользователя необходим для таких действий, как прохождение оценивания, просмотр оценок и т. д. Таким образом, можно классифицировать атаку и минимизировать ее последствия. Хотя злоумышленники могут получить доступ к содержимому, которое обычно для них не доступно, сведения об основном сеансе пользователя или о всем сайте останутся в безопасности.

Специальные примечания

Сервер Blackboard Learn с альтернативным именем хоста отвечает только на запросы webdav.

Для выполнения стандартных функций Blackboard Learn нельзя использовать установки Blackboard Learn, которые отвечают на запрос с альтернативным именем хоста. В связи с этим для названий фирменных символик и других подобных имен хостов альтернативных файлов нельзя использовать имена хоста, которые совпадают с названием файла домена.

Ознакомьтесь с разделом «Управление конфигурацией имени хоста» наших примечаний к выпуску, чтобы проверить свое имя хоста. 

Предварительная настройка сведений об альтернативном домене выполняется при включении альтернативного домена. Мы не рекомендуем изменять эти предварительно настроенные значения, поскольку Blackboard поддерживает только один альтернативный домен. Если вы все-таки хотите изменить предварительно настроенные значения, можно использовать:

  • blackboard.com;
  • домен вашего сайта, если у вас запоминающийся URL-адрес.

Включение альтернативного домена для обслуживания содержимого

При настройке отдельного домена не используйте имена хостов, установленные для фирменных символик. В противном случае ваши фирменные символики будут работать неправильно.

  1. Перейдите в раздел Панель администратора > Безопасность > Альтернативный домен для обслуживания содержимого.
  2. Установите флажок, чтобы включить альтернативный домен для обслуживания содержимого.
  3. Предварительно настроенное содержимое будет использовано для заполнения сведений.

    Мы не рекомендуем изменять эти предварительно настроенные значения, поскольку Blackboard поддерживает только один альтернативный домен. Если вы все-таки хотите изменить предварительно настроенные значения, можно использовать blackboard.com или домен вашего сайта, если у вас запоминающийся URL-адрес.

  4. Нажмите кнопку Сохранить.

Если после настройки альтернативного домена не удалось загрузить HTML-страницы, обратитесь в службу поддержки и убедитесь, что домены вашей среды правильно настроены. Проверьте настройки конфигурации имени хоста в разделе «Панель администратора» > «Безопасность» > «Конфигурация имени хоста»

Отключение альтернативного домена для обслуживания содержимого

  1. Перейдите в раздел Панель администратора > Безопасность > Альтернативный домен для обслуживания содержимого.
  2. Установите флажок, чтобы отключить альтернативный домен для обслуживания содержимого.
  3. Нажмите кнопку Отправить.

Добавление HTML

Добавление настраиваемого HTML- или CSS-кода

Если включить альтернативный домен для сайта в представлении курса Ultra, в документе все еще можно будет использовать пользовательский код HTML или CSS.  Выберите Добавить HTML как новый блок, чтобы встроить в документ сторонний редактор HTML. Введите или вставьте HTML-код в редактор и нажмите Сохранить. Зашифрованный HTML-код будет отправлен в язык разметки BbML системы Learn для персистентности. HTML будет обозначен в BbML как новый тип данных: data-bbtype. Если загрузить ранее созданный BbML-код, содержащий HTML в режиме только для чтения, HTML будет загружен из отдельного домена в iFrame.

Новый пакет CodeEditor обрабатывает все импортированное содержимое, необходимое для стороннего редактора, и стандартизирует настройки редактора. В противном случае пакет просто обернет метод редактора, чтобы встроиться в элемент DOM. Директивы и подключаемые модули, встраивающие редактор на странице, будут зависеть от пакета.

 

Your institution must have an alternate domain configured and the Course Role needs to have the Add/Edit embedded content with scripts into iframe for this feature to work. In an effort to support more enhanced security and to maintain the responsiveness of the Ultra Experience, we've used an existing solution in Learn to support this capability. If you already have an alternate domain configured, your instructors have access to add HTML in Ultra Course View documents. 

If the HTML authoring fails to load after configuring the alternate domain, please engage with support to ensure that your environment domains are setup and configured correctly.