Ti trovi qui:
API (Abilita impostazioni OAuth): Abilita per flusso dispositivo - Deselezionato
Questa impostazione di protezione gestisce la disponibilità del flusso di autorizzazione del dispositivo, che consente agli utenti di autorizzare un'applicazione connessa su un dispositivo con risorse limitate.
Nome controllo
Applicazioni connesse: API (Abilita impostazioni OAuth): Abilita per flusso dispositivo - Deselezionato
Configurazione consigliata
Abilita per flusso dispositivo - Deselezionato.
Panoramica sul controllo
Questa impostazione di protezione gestisce la disponibilità del flusso di autorizzazione del dispositivo, che consente agli utenti di autorizzare un'applicazione connessa su un dispositivo con risorse limitate immettendo un codice breve in un dispositivo secondario connesso al Web separato.
Rischio per la sicurezza se non configurato
L'abilitazione di flussi di accesso ai dispositivi non sicuri per le integrazioni causa una vulnerabilità in cui il collegamento non autorizzato dei dispositivi facilita l'acquisizione completa della sessione account ignorando i controlli di protezione standard basati su browser.
Scenari di minaccia
Un aggressore utilizza l'ingegneria sociale per convincere un utente a immettere un codice di autorizzazione dannoso in una pagina di verifica Salesforce legittima, concedendo così al dispositivo aggressore l'accesso permanente alla sessione e ai dati dell'utente.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
La mancata limitazione di questo flusso consente la generazione di token di accesso e aggiornamento di lunga durata senza la protezione di un'autenticazione reciproca efficace, potenzialmente causando movimenti laterali non rilevati nell'ambiente dell'organizzazione.
Rischio maggiore quando
Quando all'applicazione connessa vengono concessi ambiti ampi o quando l'azienda non dispone di un monitoraggio in tempo reale per rilevare schemi di immissione di codice anomali da posizioni geografiche non affidabili.
Basso rischio quando
Se l'azienda impone l'autenticazione a più fattori per tutti i tentativi di verifica e impone rigorose restrizioni basate su IP per i dispositivi secondari utilizzati per completare il processo di autorizzazione.
Considerazioni su Business e integrazione
Benché questo flusso sia progettato per hardware con capacità di input limitate come display intelligenti o strumenti della riga di comando, i moderni standard di sicurezza privilegiano metodi più sicuri come il flusso codice di autorizzazione con chiave di prova per lo scambio di codice.
Rimedio consigliato
Accedere alla sezione API (Abilita impostazioni OAuth) dell'applicazione connessa e verificare che la casella di controllo Abilita per flusso dispositivo sia deselezionata per impedire questo metodo di autorizzazione specifico.
Guida all'esame dello stato della sicurezza
Security Health Review identifica la restrizione dei flussi di accesso ai dispositivi come uno standard fortemente consigliato per ridurre al minimo la superficie di attacco dell'azienda e impedire lo sfruttamento della verifica dei dispositivi secondari per l'attacco hijack della sessione.
