Loading
Безопасность организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Управление защитой политики безопасности содержимого

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Безопасность организации Salesforce

            Управление защитой политики безопасности содержимого

            Запретите пользователям обходить проверки безопасности при просмотре шаблонов в Salesforce Classic с помощью Internet Explorer и примените жесткую инфраструктуру, блокирующую несанкционированное выполнение сценариев и ресурсов внутри платформы.

            Управление именем

            Политика безопасности содержимого

            Рекомендованная конфигурация

            • Отключение ограничения переопределения доступа к шаблонам эл. почты в Salesforce Classic посредством Internet Explorer
            • Включение более строгой политики безопасности содержимого

            Настройка>Параметры сеанса>Политика безопасности содержимого>Включение более строгой политики безопасности содержимого|Выключение ограничения переопределения доступа к шаблонам электронной почты в Salesforce Classic посредством Internet Explorer.

            Общие сведения о контроле

            "Отключить переопределение ограничения доступа к шаблонам эл. почты" предотвращает обход проверки безопасности пользователями при просмотре шаблонов в Salesforce Classic посредством Internet Explorer, в то время как "Включить более строгую политику безопасности содержимого" внедряет жесткую инфраструктуру, блокирующую выполнение несанкционированных сценариев и ресурсов внутри платформы. Вместе они обеспечивают защиту конфиденциального содержимого от атак на основе выполнения, вне зависимости от выбора обозревателя или интерфейса пользователя.

            Риск безопасности, если он не настроен

            Оставляя эти защиты отключенными, вы, по сути, оставляете «бэкдор» открытым для устаревших эксплоритов Internet Explorer, которые могут обойти безопасность шаблона электронной почты и выполнить вредоносный код в сеансе пользователя. Кроме того, без более строгого CSP в вашей организации отсутствует современная защита безопасности, необходимая для блокировки сложных атак межсайтового скриптинга (XSS), что значительно упрощает перехват сеансов неавторизованными сценариями или негласное удаление конфиденциальных данных записей.

            Сценарии угроз

            Злоумышленник использует уязвимости устаревшего обозревателя для обхода ограничений шаблонов электронной почты и выполнения вредоносной полезной нагрузки в интерфейсе Salesforce Classic. Без более строгого CSP для выполнения функций привратника, этот сценарий может «звонить домой», извлекая маркеры сеанса или конфиденциальные данные записи во внешний домен, эффективно превращая простое представление страницы в скрытый автоматический взлом данных.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Влияние риска связано с серьезным нарушением целостности и конфиденциальности данных, поскольку злоумышленники могут использовать устаревшие эксплойты обозревателя и межсайтовые сценарии для перехвата сеансов или извлечения конфиденциальных сведений о компании.

            Повышенный риск при

            Помимо упомянутых параметров, риск значительно усугубляется отключением Lightning Web Security (LWS) или Lightning Locker, поскольку это устраняет критическую изоляцию пространства имен, предотвращающую доступ одного скомпрометированного компонента к данным во всем пользовательском интерфейсе. Кроме того, неправильные конфигурации, например, разрешение «небезопасных встроенных» сценариев в надежных URL-адресах CSP или нереализация блокировки сеанса IP-адресов и защиты от кликджекинга, создают среду, где атаки перехвата сеансов и атаки «человек в обозревателе» могут пропустить стандартную проверку подлинности. Кроме того, слишком мягкие профили пользователя-гостя или широкие полномочия «Просмотр всех данных» могут превратить незначительную инъекцию сценария в полномасштабный автоматический взлом данных.

            Низкий или нулевой риск при

            Переход всех пользователей на Lightning Experience и современные браузеры играет роль основного сдерживающего фактора, фактически обесценивая устаревшие векторы атак Salesforce Classic и Internet Explorer. Кроме того, применение ограничений диапазона многофакторной проверки подлинности (MFA) и надежных или IP-адресов входа гарантирует, что, даже если сеанс скомпрометирован посредством межсайтового сценария, его невозможно легко доставить с несанкционированного устройства или расположения.

            Рекомендации по бизнесу и интеграции

            Внедрение этих элементов управления требует комплексного аудита устаревшего использования обозревателя и сторонних зависимостей, поскольку более строгие ограничения CSP и шаблонов могут нарушить настраиваемые компоненты Lightning, внешние интеграции и устаревшие бизнес-процессы.

            Рекомендованное исправление

            Обновите параметры сеанса, чтобы включить более строгую политику безопасности содержимого.

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности проверяет параметры сеанса, включительно с более строгим CSP для соответствия стандартам безопасности загрузки ресурсов на страницы Lightning.

            См. также:

             
            Загрузка
            Salesforce Help | Article