Erfassen Sie Ihre Fortschritte
Trailhead-Startseite
Trailhead-Startseite

Sichere Web- und Zielseiten

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Verwenden von SSL-Verschlüsselung für Seiteninteraktionen
  • Erstellen von Sicherheitsmethoden für Formulare, um missbräuchliche Übertragungen zu verhindern

Schützen Ihrer Seiten

Die in Marketing Cloud integrierten Sicherheitsfunktionen und Verschlüsselungsschlüssel haben wir in diesem Modul bereits erörtert. Als sicherheitsbewusster Entwickler sind Sie wahrscheinlich auch sehr daran interessiert, die Sicherheit Ihrer Web- und Zielseiten in Marketing Cloud zu optimieren. Denn was nützt all diese Sicherheit, wenn Tür und Tor für jedermann (oder jeden Bot) offen stehen? So schieben Sie auf Ihren Seiten den Riegel vor.

Verwenden von SSL-Zertifikaten

Marketing Cloud verarbeitet nicht nur Nachrichten. Über Webseiten können Abonnenten Informationen übermitteln, Mitteilungen abonnieren oder Nachrichten außerhalb ihres E-Mail-Clients anzeigen. Um bei der webbasierten Kommunikation ein Höchstmaß an Sicherheit zu gewährleisten, empfehlen wir die Verwendung von SSL-Zertifikaten. Diese Zertifikate schützen:

  • CloudPage-URLs
  • Zielseiten in Ihrem Account
  • In E-Mail-Nachrichten von Email Studio enthaltene Links
  • Portfolio-Inhalte

Darüber hinaus fügen SSL-Zertifikate dem Web-Traffic eine Verschlüsselungsebene hinzu und verhindern so, dass externe Parteien sensible Informationen abfangen. Puh! Das ist eine Erleichterung.

Brauchen Sie ein Zertifikat? Sie können entweder eigene Zertifikate kaufen oder Marketing Cloud erlauben, diese Käufe für Sie abzuwickeln. Wenn Ihre Zertifikate über Marketing Cloud erworben werden, können Sie diese zum Schutz von Seiten und Inhalten verwenden. Darüber hinaus verwaltet und erneuert Marketing Cloud die Zertifikate ohne zusätzliche Kosten. Wenn Sie selbst Zertifikate kaufen, können Sie diese nur zum Schutz von Seiten (nicht von Bildern) einsetzen.

Hinweis

Hinweis

Unsere Empfehlung: Verwenden Sie Zertifikate mit einer Gültigkeit von höchstens einem Jahr. Warum? Sie ahnen es bestimmt schon: Sie sind einfach sicherer. 

Verwalten von Formularsendungen

Wenn Sie CloudPages oder API-Integrationen verwenden, um Abonnenteninformationen zu erfassen, ist es sehr wichtig, dabei Vertrauen und Sicherheit im Hinterkopf zu haben. Wir helfen Ihnen dabei. Diese Tipps helfen Ihnen beim Schutz Ihrer Formulardaten. (Denken Sie auch daran, dass dies nicht die einzigen Sicherheitsfaktoren sind, die es zu berücksichtigen gilt. Sie sind jedoch in Marketing Cloud ein guter Ausgangspunkt.)

  • Wenn Sie Abfragezeichenfolgen in Ihre Seiten integrieren, sollten Sie SubscriberID-, SubscriberKey- oder ContactKey-Werte nicht im Klartext übertragen. Verwenden Sie außerdem Verschlüsselung anstelle von Base64- oder StringtoHex-Codierungen, um Werte aus Feldern zu übertragen. Codierungen lassen sich leicht decodieren, wohingegen sich Entschlüsselungsversuche schwieriger gestalten.
  • Jegliche Verarbeitung und Validierung von Feldern sollte auf Serverseite erfolgen. Darüber hinaus empfiehlt sich die Verwendung von mindestens zwei Abfragezeichenfolgen-Parametern, um zu überprüfen, ob derselbe Abonnent mit der Seite interagiert, bevor Daten präsentiert werden.
  • Alle Anwendungsseiten, die Sie erstellen, sollten Authentifizierung erfordern. Für die Verschlüsselung von Abfragezeichenfolgen-Parametern empfiehlt sich die AMPscript-Funktion MicrositeURL.
  • Alle nicht authentifizierten oder nicht anwendungsbezogenen öffentlichen Zielseiten sollten eine globale IF/THEN-Klausel enthalten, die auf leere erforderliche Parameter prüft. Dieser Schritt verhindert die Verarbeitung, wenn eine Person versucht, nicht über den zugewiesenen Flow, sondern direkt auf die Seite zuzugreifen.
  • Aktivieren Sie Sicherheitskopfzeilen auf Ihren Seiten anhand des folgenden Beispiels mit serverseitigem JavaScript.

Beispiel: Aktivieren von Sicherheitskopfzeilen für eine Webseite

<script runat=server>
   Platform.Response.SetResponseHeader("Strict-Transport-Security","max-age=200");
   Platform.Response.SetResponseHeader("X-XSS-Protection","1; mode=block");
   Platform.Response.SetResponseHeader("X-Frame-Options","Deny");
   Platform.Response.SetResponseHeader("X-Content-Type-Options","nosniff");
   Platform.Response.SetResponseHeader("Referrer-Policy","strict-origin-when-cross-origin");
   Platform.Response.SetResponseHeader("Content-Security-Policy","default-src 'self'");
</script>

Dieses Beispiel hilft bei der Vermeidung gängiger Probleme mit Webformularen wie Cross-Site Scripting oder SQL-Injection.

Sind Sie bereit für den nächsten Schritt? In der nächsten Einheit geht es um unsere Top-Empfehlungen zur Datensicherheit und bewährte Vorgehensweisen.

Ressourcen