Loading
Безопасность организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            API (Включить параметры OAuth): Требовать секрет для управления потоком маркера обновления

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Безопасность организации Salesforce

            API (Включить параметры OAuth): Требовать секрет для управления потоком маркера обновления

            Данный элемент управления предписывает конфиденциальному клиентскому приложению предоставить секрет клиента при обмене маркера обновления на новый маркер доступа для проверки подлинности клиента.

            Управление именем

            Связанное приложение: API (Включить параметры OAuth): Требовать секрет для процесса проверки подлинности маркера обновления

            Рекомендованная конфигурация

            Требовать секрет для процесса маркера обновления.

            Общие сведения о контроле

            Данный элемент управления предписывает конфиденциальному клиентскому приложению предоставить секрет клиента при обмене маркера обновления на новый маркер доступа для проверки подлинности клиента.

            Риск безопасности, если он не настроен

            Злоумышленник, укравший маркер обновления, может получить новые маркеры доступа на неопределенный срок, не нуждаясь в личных регистрационных данных приложения, фактически обходя критический фактор проверки подлинности.

            Сценарии угроз

            Злоумышленник извлекает маркер обновления из скомпрометированного мобильного устройства или файла журнала и использует его на отдельном несанкционированном сервере для поддержания постоянного доступа пользователя к данным Salesforce без заголовка.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Отсутствие требования секрета позволяет сохранять данные в среде в течение длительного времени, что значительно увеличивает продолжительность утечки данных за пределами срока действия первоначального сеанса.

            Повышенный риск при

            Маркеры обновления не имеют даты истечения срока действия или когда связанное приложение связано с пользователями интеграции с высокими правами, имеющими доступ к конфиденциальным персональным данным или метаданным системы.

            Низкий риск при

            Если ротация маркера обновления включена, так как это обеспечивает бесполезность любого украденного маркера обновления сразу после его первого несанкционированного использования.

            Рекомендации по бизнесу и интеграции

            Внедрение этого требования может нарушить устаревшие интеграции или мобильные приложения, которые не были созданы для хранения или передачи секрета клиента во время процесса фонового обновления.

            Рекомендованное исправление

            Перейдите в параметры OAuth связанного приложения и установите флажок в поле «Требовать секрет для процесса проверки подлинности маркера обновления».

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности определяет этот элемент управления как жизненно важную защиту от сохранения сеанса, поэтому одного украденного маркера недостаточно для постоянного входа в организацию.

            См. также:

             
            Загрузка
            Salesforce Help | Article