U bent hier:
API (OAuth-instellingen inschakelen): Inschakelen voor apparaatstroom - Gedeselecteerd
Deze beveiligingsinstelling beheert de beschikbaarheid van de apparaatautorisatiestroom, waarmee gebruikers een verbonden toepassing kunnen autoriseren op een apparaat met beperkte resources.
Controlenaam
Verbonden apps: API (OAuth-instellingen inschakelen): Inschakelen voor apparaatstroom - Gedeselecteerd
Aanbevolen configuratie
Inschakelen voor apparaatstroom - Gedeselecteerd.
Overzicht van besturingselementen
Deze beveiligingsinstelling beheert de beschikbaarheid van de apparaatautorisatiestroom, waarmee gebruikers een verbonden toepassing kunnen autoriseren op een apparaat met resourcebeperking door een korte code in te voeren op een afzonderlijk via het web verbonden secundair apparaat.
Beveiligingsrisico indien niet geconfigureerd
Het inschakelen van onveilige apparaatinlogstromen voor integraties leidt tot een kwetsbaarheid waarbij ongeoorloofde apparaatkoppeling volledige accountsessieovername vergemakkelijkt door standaard op browser gebaseerde beveiligingsbesturingselementen te omzeilen.
Dreigingsscenario's
Een aanvaller gebruikt social engineering om een gebruiker te overtuigen een kwaadwillende autorisatiecode in te voeren op een legitieme Salesforce-verificatiepagina, waardoor het bedrieglijke apparaat van de aanvaller permanente toegang krijgt tot de sessie en gegevens van de gebruiker.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als u deze stroom niet beperkt, kunnen er langlevende toegangstokens en vernieuwingstokens worden gegenereerd zonder de bescherming van robuuste wederzijdse authenticatie, wat mogelijk leidt tot onopgemerkte zijdelingse beweging binnen de omgeving van de organisatie.
Hoger risico wanneer
Wanneer de verbonden toepassing brede bereiken krijgt of wanneer het bedrijf geen realtime bewaking heeft om abnormale code-invoerpatronen te detecteren vanaf niet-vertrouwde geografische locaties.
Laag risico wanneer
Als het bedrijf multi-factorenauthenticatie verplicht stelt voor alle verificatiepogingen en strikte op IP gebaseerde beperkingen afdwingt voor de secundaire apparaten die worden gebruikt om het autorisatieproces te voltooien.
Overwegingen bij bedrijf en integratie
Hoewel deze stroom is ontworpen voor hardware met beperkte invoermogelijkheden zoals slimme weergaven of opdrachtregeltools, geven moderne beveiligingsnormen de voorkeur aan veiligere methoden zoals de autorisatiecodestroom met proefsleutel voor codeuitwisseling.
Aanbevolen oplossing
Ga naar de sectie API (OAuth-instellingen inschakelen) van de verbonden app en zorg ervoor dat het selectievakje Inschakelen voor apparaatstroom is uitgeschakeld om deze specifieke autorisatiemethode te voorkomen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert de beperking van apparaatinlogstromen als een sterk aanbevolen standaard om het oppervlak van de bedrijfsaanval te minimaliseren en misbruik van verificatie op secundaire apparaten voor sessie-overname te voorkomen.
