U bent hier:
API (OAuth-instellingen inschakelen): Bewijssleutel vereisen voor besturingselement Code Exchange (PKCE)
Een OAuth 2.0-beveiligingsextensie die een dynamisch gemaakte cryptografische "codeverificatie" gebruikt om ervoor te zorgen dat de toepassing die een autorisatiecode voor een toegangstoken uitwisselt, dezelfde is als die welke oorspronkelijk om de code heeft verzocht.
Controlenaam
Verbonden apps: API (OAuth-instellingen inschakelen): Bewijssleutel vereisen voor Code Exchange (PKCE)
Aanbevolen configuratie
Proof Key for Code Exchange (PKCE) Extension vereisen voor ondersteunde autorisatiestromen - Geselecteerd.
Overzicht van besturingselementen
PKCE is een beveiligingsextensie voor OAuth 2.0 die een dynamisch gemaakte cryptografische "codeverificatie" gebruikt om ervoor te zorgen dat de toepassing die een autorisatiecode voor een toegangstoken uitwisselt, dezelfde toepassing is die oorspronkelijk om de code heeft verzocht.
Beveiligingsrisico indien niet geconfigureerd
Zonder PKCE zijn openbare clients (zoals mobiele apps of apps van één pagina) kwetsbaar voor "Autorisatiecode-onderschepping", omdat ze geen clientgeheim veilig kunnen opslaan om hun identiteit te verifiëren tijdens de tokenuitwisseling.
Dreigingsscenario's
Een aanvaller onderschept een succesvolle autorisatiecode via een aangepast URI-schema of browseromleiding en wisselt deze onmiddellijk in voor een geldig toegangstoken voordat de legitieme toepassing dat kan, waardoor de sessie van de gebruiker feitelijk wordt gekaapt.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
Een succesvolle onderschepping leidt tot totale accountovername binnen het bereik van de toepassing, waardoor de tegenstander mogelijk gevoelige persoonsgegevens kan exfiltreren of ongeoorloofde transacties kan uitvoeren als de gecompromitteerde gebruiker.
Hoger risico wanneer
Het risico is groot voor mobiele toepassingen en toepassingen van één pagina, waarbij de code wordt overgedragen via potentieel onveilige systeembrowsers of gedeelde apparaatomgevingen.
Laag risico wanneer
Het risico wordt als lager beschouwd voor "vertrouwelijke clients" (server-naar-server-integraties) die een clientgeheim veilig kunnen opslaan en gebruiken om de tokenuitwisseling te authenticeren, hoewel PKCE nog steeds wordt aanbevolen als diepgaande verdediging.
Overwegingen bij bedrijf en integratie
Het afdwingen van PKCE vereist dat ontwikkelaars de OAuth-handshakelogica van hun toepassing bijwerken om de parameters code_challenge en code_verifier te genereren en te verzenden, hetgeen het bijwerken van verouderde mobiele bibliotheken kan vereisen.
Aanbevolen oplossing
Ga naar de instellingen van de verbonden app in Salesforce en schakel het selectievakje voor PKCE-extensie (Proof Key for Code Exchange) vereisen in.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert PKCE als een verplichte baseline voor alle moderne openbaar gerichte integraties om de "code-injectie"-achterpoortje te dichten en identiteitsverificatie met grote zekerheid te garanderen voor mobiele en webgebruikers.
