Вы находитесь здесь:
Параметры приложения холста: Безопасность подписанных запросов холста
Этот параметр безопасности определяет протокол авторизации для интеграций холста.
Управление именем
Связанные приложения: Параметры приложения холста: Безопасность подписанных запросов холста
Рекомендованная конфигурация
Метод доступа - подписанный запрос (POST) | Веб-поток OAuth (GET).
Общие сведения о контроле
Этот параметр безопасности определяет протокол авторизации для интеграций холста, где подписанный запрос (POST) предоставляет проверяемую полезную нагрузку для предварительно авторизованных пользователей, а веб-поток OAuth (GET) использует последовательность на основе переадресации для авторизации пользователя по запросу.
Риск безопасности, если он не настроен
Небезопасное внедрение методов доступа к холсту, особенно ненужное использование веб-правила OAuth на основе GET, приводит к риску кражи маркера сеанса из-за доступа к конфиденциальным параметрам проверки подлинности в строках URL-адресов простого текста и журналах обозревателя.
Сценарии угроз
Злоумышленник перехватывает незашифрованный запрос GET или открывает журнал обозревателя для сбора активного идентификатора сеанса, позже используя украденный маркер для создания образа пользователя в экземпляре Salesforce.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Отказ от внедрения криптографически подписанных запросов POST облегчает доступ к конфиденциальным метаданным сеанса в журнале обозревателя или сервера, значительно увеличивая вероятность постоянного перехвата организации.
Повышенный риск при
При использовании метода GET для приложений с полномочиями администратора, поскольку он зависит от согласия пользователя, которое можно обойти или обработать посредством социальной инженерии.
Низкий риск при
Если метод GET ограничен сторонними инструментами с низкой конфиденциальностью, требующими явного утверждения пользователем, или если организация применяет строгие ограничения диапазона IP-адресов для обрамленного приложения.
Рекомендации по бизнесу и интеграции
Хотя подписанный запрос (POST) является безопасным стандартом для внутренних приложений, веб-поток OAuth (GET) подходит для внешних «готовых» интеграций, где пользователи должны авторизовываться самостоятельно или для клиентских приложений, не имеющих поддержки для проверки криптографических подписей.
Рекомендованное исправление
Перейдите в «Параметры приложения холста» для связанного приложения и выберите «Подписанный запрос (POST)» для всех настраиваемых внутренних интеграций, чтобы обеспечить передачу конфиденциальных данных в теле запроса, а не в URL-адресе.
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет использование подписанного запроса (POST) в качестве настоятельно рекомендуемого стандарта для высоконадежных интеграций, чтобы предотвратить перехват маркеров проверки подлинности, признавая метод GET для определенных сторонних способов использования самостоятельной авторизации.
