Beskyttelse av innholdssikkerhetspolicy

Navn på kontroll

Sikkerhetspolicy for innhold

Anbefalt konfigurasjon

• Deaktivere overstyringsrestriksjoner for tilgang til e-postmaler i Salesforce Classic med Internet Explorer
• Aktivere strengere sikkerhetspolicy for innhold

Oppsett>Øktinnstillinger>Innholdssikkerhetspolicy>Aktiver strengere innholdssikkerhetspolicy |Deaktiver overstyringsrestriksjon for tilgang til e-postmaler i Salesforce Classic med Internet Explorer.

Oversikt over kontroll

"Deaktiver overstyringsrestriksjon for tilgang til e-postmaler" hindrer brukere i å omgå sikkerhetskontroller når de viser maler i Salesforce Classic med Internet Explorer, mens "Aktiver strengere sikkerhetspolicy for innhold" håndhever et strengt rammeverk som blokkerer utførelse av uautoriserte skript og ressurser i plattformen. Sammen sikrer de at sensitivt innhold beskyttes mot utførelsesbaserte angrep uavhengig av brukerens nettleser eller grensesnittvalg.

Sikkerhetsrisiko hvis ikke konfigurert

Ved å la disse beskyttelsene være deaktivert, holder du i hovedsak en "bakdør" åpen for tidligere Internet Explorer-utnyttelser som kan omgå e-postmalsikkerhet og utføre skadelig kode i en brukers økt. I tillegg mangler organisasjonen uten en strengere CSP den oppdaterte sikkerhetsbeskyttelsen som er nødvendig for å blokkere avanserte XSS-angrep på tvers av nettsteder, noe som gjør det mye enklere for uautoriserte skript å kapre økter eller stille skrape sensitive postdata.

Trusselscenarier

En angriper benytter en eldre nettlesers sårbarheter til å omgå e-postmalrestriksjoner og utføre en skadelig last i Salesforce Classic. Uten Strengere CSP til å fungere som en gateholder, er dette skriptet gratis å "telefon hjem" ved å eksfiltrere økttokener eller sensitive postdata til et eksternt domene, og effektivt gjøre en enkel sidevisning til en stille, automatisert datainnbrudd.

Beregnet CVSS Score-område

Kritisk (9.0–10.0).

Viktige punkter om risikoinnvirkning

Risikoinnvirkningen sentrerer seg om et kritisk brudd på dataintegritet og konfidensialitet, da angripere kan benytte eldre nettleserutnyttelser og skript på tvers av nettsteder til å kapre økter eller eksfiltrere sensitiv firmainformasjon.

Høyere risiko når

Ut over de nevnte innstillingene blir risikoen betydelig forsterket ved å deaktivere Lightning Web Security (LWS) eller Lightning Locker, da dette fjerner den kritiske navneområdeisolasjonen som hindrer at en enkelt kompromittert komponent får tilgang til data på tvers av hele brukergrensesnittet. I tillegg vil feilkonfigurasjoner som å tillate "usikre innebygde" skript i CSP-klarerte URL-adresser eller å ikke implementere IP-øktlåsing og clickjack-beskyttelse, skape et miljø der øktkapring og "mann i nettleseren"-angrep kan omgå standard godkjenning. Ytterligere kan overdrevent tillatte Gjestebruker-profiler eller brede Vise alle data-tillatelser gjøre en mindre skriptinnsetting til et fullskala automatisert datainnbrudd.

Lav eller ingen risiko når

Overføring av alle brukere til Lightning Experience og moderne nettlesere fungerer som en primær avskrekking ved å effektivt avverge de tidligere Salesforce Classic og Internet Explorer-angrepsvektorene. I tillegg sikrer håndheving av begrensninger for godkjenning med flere faktorer (MFA) og IP-område for klarert eller LOgin at selv om en økt blir kompromittert via et skript på tvers av nettsteder, kan den ikke lett bli våpenet fra en uautorisert enhet eller sted.

Viktige punkter om virksomheten og integrasjonen

Implementering av disse kontrollene krever en omfattende revisjon av eldre nettleserbruk og tredjepartsavhengigheter, fordi strengere CSP- og malrestriksjoner kan avbryte tilpassede Lightning, eksterne integrasjoner og eldre arbeidsflyter.

Anbefalt rettelse

Oppdater Øktinnstillinger for å aktivere strengere sikkerhetspolicy for innhold.

Veiledning for vurdering av sikkerhetstilstand

Sikkerhetstilstandsvurdering inspiserer øktinnstillingene, inkludert strengere CSP, for å samsvare med sikkerhetsstandarder for hvordan ressurser lastes inn på Lightning.