Loading
Impostazione e gestione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            Protezione dal clickjack

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Impostazione e gestione dell'organizzazione Salesforce

            Protezione dal clickjack

            Salesforce fornisce impostazioni di protezione dal clickjack per proteggere l'organizzazione dagli attacchi di riparazione dell'interfaccia utente.

            Nome controllo

            Protezione dal clickjack

            Configurazione consigliata

            • Abilita la protezione dal clickjack per le pagine di impostazione
            • Abilitazione della protezione dal clickjack per le pagine Salesforce non impostate
            • Abilitare la protezione dal clickjack per le pagine Visualforce dei clienti con intestazioni standard
            • Abilitare la protezione dal clickjack per le pagine Visualforce dei clienti con intestazioni disabilitate

            Imposta>Impostazioni di sessione>Protezione dal clickjack>Abilita tutte le opzioni di protezione dal clickjack.

            Panoramica sul controllo

            Per proteggere l'organizzazione dagli attacchi di riparazione dell'interfaccia utente, Salesforce fornisce impostazioni di protezione dal clickjack che impediscono ai siti Web dannosi di incorporare le pagine Salesforce, ad esempio Imposta o le pagine Visualforce personalizzate, in un iFrame invisibile.

            Rischio per la sicurezza se non configurato

            La mancata abilitazione della protezione dal clickjack espone gli utenti agli attacchi di riparazione dell'interfaccia utente, in cui un aggressore incorpora le pagine Salesforce in un iFrame invisibile su un sito dannoso per ingannarli nell'esecuzione di azioni involontarie come l'eliminazione di record o la concessione di autorizzazioni. Questa svista crea un rischio elevato di modifica non autorizzata dei dati e di compromissione dell'account, poiché le interazioni utente legittime vengono dirottate per eseguire comandi dannosi all'insaputa dell'utente Knowledge.

            Scenari di minaccia

            Un aggressore attira un utente Salesforce autenticato a un sito Web dannoso che ospita un iframe invisibile di una pagina Salesforce sensibile, ad esempio una schermata Disattivazione utente o Eliminazione record, direttamente su un pulsante di richiamo come "Richiedi il tuo premio". Quando l'utente fa clic sull'esca, esegue inconsapevolmente il comando Salesforce nascosto, causando potenzialmente l'eliminazione non autorizzata dei dati critici dei clienti o l'aumento delle autorizzazioni di sistema dell'autore dell'attacco senza alcun avviso visibile.

            Intervallo di punteggi CVSS stimato

            Critico (9.0–10.0).

            Considerazioni sull'impatto del rischio

            L'impatto del rischio principale comporta un compromesso critico della riservatezza dei dati e dell'integrità del sistema, in cui lo sfruttamento di vulnerabilità non limitate porta a esfiltrazione non autorizzata dei dati, azioni amministrative fraudolente e gravi violazioni normative.

            Rischio maggiore quando

            Il rischio è notevolmente aumentato da un elenco di domini affidabili troppo permissivo, che può consentire ai siti esterni non affidabili o compromessi di ignorare le restrizioni di framing e ospitare componenti Salesforce invisibili. Inoltre, trascurare di abilitare la protezione dal clickjack per le pagine Visualforce personalizzate o i siti Experience Cloud proteggendo solo l'impostazione interna crea una "backdoor" vulnerabile per gli aggressori che mirano agli utenti non amministrativi.

            Rischio basso o nullo quando

            Per ridurre al minimo i rischi di clickjacking, le organizzazioni possono utilizzare i domini affidabili per i frame in linea per inserire esplicitamente nella whitelist solo i siti esterni autorizzati, assicurando che il framing sia limitato agli ambienti noti e sicuri. Inoltre, l'adozione dei componenti Web Lightning (LWC) con integrazioni API sicure consente il rendering nativo dei dati senza la necessità di iFrame, eliminando efficacemente il vettore di attacco principale e mantenendo un modello con privilegi minimi per limitare i danni potenziali di eventuali clic accidentalmente hijackati.

            Considerazioni su Business e integrazione

            L'implementazione della protezione dal clickjack richiede un controllo completo di tutti i portali esterni e le applicazioni di terze parti che inseriscono le pagine Salesforce nell'iframe per assicurarsi che siano inserite correttamente nell'elenco consentiti, poiché le impostazioni eccessivamente restrittive possono interrompere le integrazioni business-critical e i flussi di lavoro rivolti ai clienti.

            Rimedio consigliato

            Abilitare la protezione dal clickjack nelle impostazioni di sessione di Salesforce.

            Guida all'esame dello stato della sicurezza

            Security Health Review esamina l'impostazione delle impostazioni di sessione dell'organizzazione per verificare che la protezione dal clickjack sia abilitata in conformità alle procedure consigliate.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article