Sie befinden sich hier:
API (OAuth-Einstellungen aktivieren): Für Geräte-Flow aktivieren – deaktiviert
Mit dieser Sicherheitseinstellung wird die Verfügbarkeit des Geräteautorisierungs-Flows verwaltet, wodurch Benutzer eine verbundene Anwendung auf einem ressourcenbeschränkten Gerät autorisieren können.
Steuerelementname
Verbundene Anwendungen: API (OAuth-Einstellungen aktivieren): Für Geräte-Flow aktivieren – deaktiviert
Empfohlene Konfiguration
Für Geräte-Flow aktivieren – deaktiviert.
Steuerelementübersicht
Mit dieser Sicherheitseinstellung wird die Verfügbarkeit des Geräteautorisierungs-Flows verwaltet, mit dem Benutzer eine verbundene Anwendung auf einem ressourcenbeschränkten Gerät autorisieren können, indem sie einen Kurzcode auf einem separaten webbasierten sekundären Gerät eingeben.
Sicherheitsrisiko, wenn nicht konfiguriert
Das Aktivieren unsicherer Geräteanmelde-Flows für Integrationen führt zu einer Schwachstelle, bei der nicht autorisierte Geräteverknüpfungen die vollständige Übernahme von Accountsitzungen erleichtern, indem standardmäßige browserbasierte Sicherheitssteuerungen umgangen werden.
Bedrohungsszenarien
Ein Angreifer verwendet Social Engineering, um einen Benutzer davon zu überzeugen, einen bösartigen Autorisierungscode in eine legitime Salesforce-Überprüfungsseite einzugeben, wodurch er dem abtrünnigen Gerät des Angreifers dauerhaften Zugriff auf die Sitzung und die Daten des Benutzers gewährt.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Wenn dieser Flow nicht eingeschränkt wird, können langlebige Zugriffs- und Aktualisierungstoken ohne den Schutz einer zuverlässigen gegenseitigen Authentifizierung generiert werden, was möglicherweise zu unentdeckten seitlichen Bewegungen innerhalb der Organisationsumgebung führt.
Höheres Risiko, wenn
Wenn der verbundenen Anwendung umfassende Geltungsbereiche gewährt werden oder wenn das Unternehmen keine Echtzeitüberwachung hat, um anomale Codeeingabemuster von nicht vertrauenswürdigen geografischen Standorten zu erkennen.
Geringes Risiko, wenn
Wenn das Unternehmen die Multi-Faktor-Authentifizierung für alle Überprüfungsversuche vorschreibt und strenge IP-basierte Einschränkungen für die sekundären Geräte erzwingt, die zum Abschließen des Autorisierungsprozesses verwendet werden.
Überlegungen zu Unternehmen und Integration
Während dieser Flow für Hardware mit eingeschränkten Eingabemöglichkeiten wie intelligente Displays oder Befehlszeilentools konzipiert ist, bevorzugen moderne Sicherheitsstandards sicherere Methoden wie den Autorisierungscode-Flow mit Beweisschlüssel für den Codeaustausch.
Empfohlene Sanierung
Wechseln Sie zum Abschnitt API (OAuth-Einstellungen aktivieren) der verbundenen Anwendung und stellen Sie sicher, dass das Kontrollkästchen Für Geräte-Flow aktivieren deaktiviert ist, um diese spezifische Autorisierungsmethode zu verhindern.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Einschränkung von Geräteanmelde-Flows als dringend empfohlenen Standard, um die Angriffsfläche des Unternehmens zu minimieren und die Nutzung der sekundären Geräteüberprüfung für Session-Hijacking zu verhindern.
