Loading
Безопасность организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            API (Включить параметры OAuth): Требовать секрет для управления потоком веб-сервера

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Безопасность организации Salesforce

            API (Включить параметры OAuth): Требовать секрет для управления потоком веб-сервера

            Этот элемент управления требует, чтобы клиентское приложение предоставило свой криптографически сильный секрет клиента во время обмена кода авторизации на маркер доступа для проверки подлинности клиента.

            Управление именем

            Связанные приложения: API (Включить параметры OAuth): Требовать секрет для процесса веб-сервера

            Рекомендованная конфигурация

            Требовать секрет для процесса веб-сервера.

            Общие сведения о контроле

            Этот элемент управления требует, чтобы клиентское приложение предоставило свой криптографически сильный секрет клиента во время обмена кода авторизации на маркер доступа для проверки подлинности клиента.

            Риск безопасности, если он не настроен

            Поток веб-сервера (предоставление кода авторизации) может позволить взломщику, перехватившему временный код авторизации, успешно обменять его на маркер долгосрочного доступа, не подтверждая, что он управляет авторизованным сервером сервера.

            Сценарии угроз

            Противник перехватывает код авторизации посредством переадресации обозревателя или утечки журнала и немедленно выполняет обмен маркеров из собственной инфраструктуры, успешно выдавая себя за законное приложение для получения доступа к данным пользователя.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Если секрет не требуется, это облегчает несанкционированное создание сеанса и извлечение данных, что фактически превращает временный одноразовый код в постоянный шлюз для перехода к учетной записи.

            Повышенный риск при

            Если приложение размещено на общедоступном сервере или использует настраиваемую схему URI, повышающую вероятность перехвата кода авторизации вредоносными локальными приложениями или прокси-серверами сети.

            Низкий риск при

            Если компания внедрила PKCE (Ключ подтверждения для обмена кодами) в качестве компенсирующего элемента управления, что добавляет дополнительный динамический уровень проверки к процессу обмена кодами.

            Рекомендации по бизнесу и интеграции

            Включение этого требования может нарушить существующие интеграции, если сторонний клиент был неправильно настроен на обход секретного обмена или если клиентский код не имеет безопасного доступа к секрету.

            Рекомендованное исправление

            Перейдите в «Параметры OAuth связанного приложения» в настройках и установите флажок в поле «Требовать секрет для процесса веб-сервера».

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности определяет это как базовое требование «Конфиденциальный клиент», чтобы конфиденциальные данные CRM предоставлялись только проверенным серверным приложениям, которые могут защитить их регистрационные данные.

            См. также:

             
            Загрузка
            Salesforce Help | Article