Loading
Konfigurere og vedlikeholde Salesforce-organisasjonen
Innhold
Filtrer etter (0)Legg til
Velg filtre

          Ingen resultater
          Ingen resultater
          Her er noen søketips

          Kontroller stavemåten i søkeordene.
          Bruk mer generelle søkebegreper.
          Velg færre filtre for å utvide søket.

            Søk i all Salesforce Hjelp
            Søk i all Salesforce Hjelp
            API (Aktiver OAuth-innstillinger): Fjern hemmelighet for oppdateringstokenflyt

            Du er her:

            1. Salesforce Hjelp
            2. Dokumenter
            3. Konfigurere og vedlikeholde Salesforce-organisasjonen

            API (Aktiver OAuth-innstillinger): Fjern hemmelighet for oppdateringstokenflyt

            Denne kontrollen krever at et konfidensielt klientprogram oppgir klienthemmeligheten sin når et oppdateringstoken utveksles med et nytt tilgangstoken for å bekrefte klientens identitet.

            Navn på kontroll

            Tilkoblet app: API (Aktiver OAuth-innstillinger): Fjern hemmelighet for oppdateringstokenflyt

            Anbefalt konfigurasjon

            Krev hemmelighet for oppdateringstokenflyt.

            Oversikt over kontroll

            Denne kontrollen krever at et konfidensielt klientprogram oppgir klienthemmeligheten sin når et oppdateringstoken utveksles med et nytt tilgangstoken for å bekrefte klientens identitet.

            Sikkerhetsrisiko hvis ikke konfigurert

            En angriper som stjeler et oppdateringstoken, kan skaffe seg nye tilgangstokener på ubestemt tid uten at det er nødvendig med programets private legitimasjon, noe som effektivt omgår en viktig godkjenningsfaktor.

            Trusselscenarier

            En angriper trekker ut et oppdateringstoken fra en kompromittert mobilenhet eller loggfil og bruker det fra en separat, uautorisert server til å opprettholde vedvarende, "hodeløs" tilgang til brukerens Salesforce-data.

            Beregnet CVSS Score-område

            Kritisk (9.0–10.0).

            Viktige punkter om risikoinnvirkning

            Feilen med å kreve en hemmelighet aktiverer langvarig, uoppdaget vedvarende i miljøet, noe som betydelig forlenger varigheten av et datainnbrudd utover levetiden til den første økten.

            Høyere risiko når

            Oppdateringstokener har ingen utløpsdato eller når den tilkoblede appen er knyttet til integrasjonsbrukere med høy rettigheter som har tilgang til sensitive PII- eller systemmetadata.

            Lav risiko når

            Hvis Oppdateringstokenrotasjon er aktivert, fordi dette sikrer at et stjålet oppdateringstoken blir ubrukelig umiddelbart etter første uautorisert bruk.

            Viktige punkter om virksomheten og integrasjonen

            Håndheving av dette kravet kan bryte eldre integrasjoner eller mobilapper som ikke var utformet for å lagre eller overføre en klienthemmelighet under bakgrunnsoppdateringsprosessen.

            Anbefalt rettelse

            Gå til OAuth-innstillingene i den tilkoblede appen, og merk avmerkingsboksen for Krev hemmelighet for oppdateringstokenflyt.

            Veiledning for vurdering av sikkerhetstilstand

            Sikkerhetstilstandsvurdering identifiserer denne kontrollen som et viktig forsvar mot vedvarende økter, slik at et stjålet token alene ikke er tilstrekkelig til å opprettholde en permanent bakdør til organisasjonen.

            Se også:

             
            Laster
            Salesforce Help | Article