Olet tässä:
API (Ota OAuth-asetukset käyttöön): Vaadi koodinvaihdon todennusavain (PKCE)
OAuth 2.0 -suojauslaajennus, joka käyttää dynaamisesti luotua kryptografista "koodin vahvistinta" varmistaakseen, että sovellus, joka vaihtaa valtuutuskoodin käyttöoikeusvaltuudelle, on sama, joka alunperin pyytää koodia.
Ohjaimen nimi
Yhdistetyt sovellukset: API (Ota OAuth-asetukset käyttöön): Vaadi koodinvaihdon todennusavain (PKCE)
Suositeltu kokoonpano
Vaadi Proof Key for Code Exchange (PKCE) -laajennus tuetuille valtuutuskuluille - Valittu.
Ohjauksen yleiskatsaus
PKCE on OAuth 2.0 -suojauslaajennus, joka käyttää dynaamisesti luotua kryptografista "koodin vahvistinta" varmistaakseen, että sovellus, joka vaihtaa valtuutuskoodin käyttöoikeusvaltuudelle, on sama sovellus, joka alunperin pyytää koodia.
Tietoturvariski, jos ei määritetty
Ilman PKCE:tä julkiset asiakassovellukset (kuten mobiilisovellukset tai yksisivuiset sovellukset) ovat haavoittuvaisia valtuutuskoodin kaappaukselle, koska ne eivät voi tallentaa asiakassalaisuutta turvallisesti henkilöllisyytensä vahvistamiseksi valtuuden vaihdon aikana.
Uhkien skenaariot
Hyökkääjä kaappaa onnistuneen valtuutuskoodin mukautetun URI-skeeman tai selaimen uudelleenohjauksen kautta ja vaihtaa sen välittömästi kelvolliselle käyttöoikeusvaltuudelle ennen kuin laillinen sovellus voi, mikä kaappaa käyttäjän istunnon.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Onnistunut kaappaus johtaa sovelluksen vaikutusalueen tilien kokonaisvaltaiseen käyttöönottoon, mikä mahdollisesti sallii vastustajan suodattaa luottamuksellisia henkilötietoja tai suorittaa valtuuttamattomia transaktioita vaarantuneena käyttäjänä.
Korkeampi riski, kun
Riskit ovat korkeat mobiilisovelluksissa ja yksisivuisissa sovelluksissa, joissa koodi siirretään mahdollisesti suojaamattomien järjestelmäselaimien tai jaettujen laiteympäristöjen kautta.
Matalan riskin milloin
Riskiä pidetään pienempänä "luottamuksellisille asiakkaille" (palvelinpalvelin-integraatioille), jotka voivat tallentaa ja käyttää asiakassalaisuutta turvallisesti valtuuksien vaihdon todentamiseen, vaikka PKCE:tä suositellaan edelleen syvällisenä puolustuksena.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
PKCE:n noudattaminen vaatii kehittäjiä päivittämään sovelluksensa OAuth-handshake-logiikkaa luodakseen ja lähettääkseen code_challenge- ja code_verifier-parametrit, jotka saattavat vaatia vanhojen mobiilikirjastojen päivittämistä.
Suositeltu korjaus
Avaa Salesforcen Yhdistetyn sovelluksen asetukset ja ota käyttöön "Väitä todennusavain koodinvaihdolle (PKCE) -laajennukselle" -valintaruutu.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus määrittää PKCE:n pakolliseksi perustasoksi kaikille nykyaikaisille julkisia integraatioita käyttäville integraatioille, jotta voit sulkea ”koodi-injektio”-aukon ja varmistaa korkean vahvistuksen henkilöllisyydenvahvistuksen mobiili- ja verkkokäyttäjille.
