Loading
Salesforce-organisaatiosi määrittäminen ja ylläpito
Sisällysluettelo
Suodatusperuste (0)Lisää
Valitse suodattimet

          Ei tuloksia
          Ei tuloksia
          Tässä on joitain hakuvinkkejä

          Tarkista avainsanojesi oikeinkirjoitus.
          Käytä yleisempiä hakutermejä.
          Laajenna hakua valitsemalla vähemmän suodattimia.

            Hae koko Salesforce-ohjeesta
            Hae koko Salesforce-ohjeesta
            Sisällön piilottamisen suojaus

            Olet tässä:

            1. Salesforce-ohje
            2. Asiakirja
            3. Salesforce-organisaatiosi määrittäminen ja ylläpito

            Sisällön piilottamisen suojaus

            Salesforce-pääkäyttäjien tulisi ottaa Sisällön nauhoitussuojaus käyttöön Istuntoasetukset-valikosta estääkseen selaimia tulkitsemasta tiedostoja väärin suoritettavina komentosarjoina.

            Ohjaimen nimi

            Sisällön piilottamisen suojaus

            Suositeltu kokoonpano

            • Ota sisällön nuuskimisen esto käyttöön

            Määritykset>Istuntoasetukset>Sisällön piilottamisen suojaus.

            Ohjauksen yleiskatsaus

            Jos haluat estää selaimia tulkitsemasta tiedostoja virheellisesti suoritettavina komentosarjoina, Salesforce-pääkäyttäjien tulisi ottaa Sisällön nauhoitussuojaus käyttöön Istuntoasetukset-valikosta ottaakseen käyttöön X-Content-Type-Options: nosniff-header.

            Tietoturvariski, jos ei määritetty

            Sisällön piilottamisen suojauksen poistaminen käytöstä sallii selaimien ohittaa palvelimen esittämän tiedostotyypin ja "arvailla" MIME-tyypin tiedoston sisällön perusteella, mikä luo haavoittuvuuden, jossa selain voi suorittaa vaaratonta näyttävän tiedoston (kuten kuvan tai tekstitiedoston) pahantahtoisena komentosarjana. Tämä ohitus lisää merkittävästi Cross-Site Scripting (XSS) -hyökkäysten ja drive-by-download-hyökkäysten riskiä.

            Uhkien skenaariot

            Hyökkääjä lataa Salesforce Case- tai Experience Cloud -portaaliin haitallisen JavaScript-tietosisällön, joka on peitetty harmittomaksi .png- tai .txt-tiedostoksi. Ilman sisällön haisteluiden suojausta epäilyttävä käyttäjä "arvaa" tiedoston todellisen luonteen ja suorittaa piilotetun komentosarjan, jolloin hyökkääjä voi hiljaa varastaa käyttäjän aktiiviset istuntoevästeet ja poistaa luottamuksellisia tietoja.

            Arvioitu CVSS-pistealue

            Kriittinen (9.0–10.0).

            Riskien vaikutuksissa huomioitavia asioita

            N/A

            Korkeampi riski, kun

            MIME:n sniffing-riskin lisää merkittävästi sisällön suojauskäytännön (CSP) puute, joka muuten toimisi toissijaisena puolustuksena estääkseen valtuuttamattomien komentosarjojen suorittamisen.

            Matala riski tai ei riskiä, kun

            Organisaatioiden tulisi ottaa käyttöön tiukka sisällön suojauskäytäntö (CSP), joka estää valtuuttamattomien tai upotettujen komentosarjojen suorittamisen erikseen toimimalla toissijaisena palomuurina ”niffoituja” tietosisältöjä vastaan.

            Lisäksi kaikkien latausten automatisoitujen haittaohjelmien ja tiedostotyyppien skannauksen käyttöönotto varmistaa, että haitalliset tiedostot — komentosarjat, jotka on piilotettu kuviksi — havaitaan ja neutraloidaan ennen kuin selaimella on mahdollisuus tulkita ne väärin.

            Liiketoiminnassa ja integraatiossa huomioitavia asioita

            N/A

            Suositeltu korjaus

            Ota sisältösuojaus käyttöön.

            Tietoturvan terveystarkastuksen ohjeet

            Tietoturvan terveystarkastus tarkastaa Istuntoasetukset-kokoonpanon varmistaakseen, että Content Sniffing -suojaus on käytössä toimialan suositeltujen käytäntöjen mukaisesti.

            Katso myös:

             
            Ladataan
            Salesforce Help | Article