Loading
Ställa in och bibehålla din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            API (Aktivera OAuth-inställningar): Kräv hemlighet för uppdateringstokenflöde

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Ställa in och bibehålla din Salesforce-organisation

            API (Aktivera OAuth-inställningar): Kräv hemlighet för uppdateringstokenflöde

            Denna kontroll kräver att ett konfidentiellt klientprogram måste tillhandahålla sin klienthemlighet när en uppdateringstoken byts ut mot en ny åtkomsttoken för att bekräfta klientens identitet.

            Kontrollnamn

            Ansluten app: API (Aktivera OAuth-inställningar): Kräv hemlighet för uppdateringstokenflöde

            Rekommenderad konfiguration

            Kräv hemlighet för uppdateringstokenflöde.

            Kontrollöversikt

            Denna kontroll kräver att ett konfidentiellt klientprogram måste tillhandahålla sin klienthemlighet när en uppdateringstoken byts ut mot en ny åtkomsttoken för att bekräfta klientens identitet.

            Säkerhetsrisk om den inte är konfigurerad

            En attackerare som stjäl en uppdateringstoken kan få nya åtkomsttokens tills vidare utan att behöva programmets privata inloggningsuppgifter, vilket effektivt kringgår en viktig autentiseringsfaktor.

            Hotscenarier

            En attackerare extraherar en uppdateringstoken från en komprometterad mobilenhet eller loggfil och använder den från en separat, oauktoriserad server för att upprätthålla beständig, "sidhuvudlös" åtkomst till användarens Salesforce-data.

            Uppskattat CVSS-betygintervall

            Kritisk (9,0-10,0).

            Att tänka på vad gäller riskpåverkan

            Misslyckandet med att kräva en hemlighet möjliggör långsiktig, oupptäckt beständighet i miljön, vilket avsevärt förlänger varaktigheten för ett dataintrång utöver den inledande sessionens livslängd.

            Högre risk när

            Uppdateringstokens har inget utgångsdatum eller när den anslutna appen är associerad med integreringsanvändare med hög behörighet som har åtkomst till känsliga PII- eller systemmetadata.

            Låg risk när

            Om Rotation av uppdateringstoken har aktiverats säkerställer detta att stulna uppdateringstoken görs oanvändbara direkt efter den första obehöriga användningen.

            Att tänka på vad gäller affärer och integration

            Att tillämpa detta krav kan förstöra äldre integreringar eller mobilappar som inte utformats för att lagra eller överföra en klienthemlighet under bakgrundsuppdateringsprocessen.

            Rekommenderad åtgärd

            Gå till OAuth-inställningarna för den anslutna appen och markera kryssrutan för "Kräv hemlighet för uppdateringstokenflöde".

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning identifierar denna kontroll som ett viktigt försvar mot sessionsbeständighet, så att endast en stulen token är otillräcklig för att upprätthålla en permanent bakdörr in i organisationen.

            Se även:

             
            Laddar
            Salesforce Help | Article