Vous êtes ici :
Contrôle de la protection contre le reniflage de contenus
Pour empêcher les navigateurs d'interpréter incorrectement les fichiers en tant que scripts exécutables, les administrateurs Salesforce doivent activer « Activer la protection contre le reniflage de contenus » dans le menu Paramètres de session.
Nom du contrôle
Protection contre le reniflage de contenus
Configuration recommandée
- Activer la protection contre le reniflage de contenus
Configuration>Paramètres de session>Protection contre le reniflage de contenu.
Vue d'ensemble du contrôle
Pour empêcher les navigateurs d'interpréter incorrectement les fichiers en tant que scripts exécutables, les administrateurs Salesforce doivent activer « Activer la protection contre le reniflage de contenu » dans le menu Paramètres de session pour appliquer automatiquement les options X-Content-Type : en-tête nosniff.
Risque de sécurité s'il n'est pas configuré
Le fait de ne pas activer la Protection contre le reniflage de contenu permet aux navigateurs d'ignorer le type de fichier déclaré par le serveur et de « deviner » le type MIME en fonction du contenu d'un fichier, créant ainsi une vulnérabilité dans laquelle un navigateur peut exécuter un fichier d'apparence inoffensive (par exemple un fichier image ou texte) en tant que script malveillant. Cet oubli augmente considérablement le risque d'attaques par script inter-site (XSS) et par téléchargement automatique.
Scénarios de menace
Un assaillant charge une charge utile JavaScript malveillante déguisée en fichier .png ou .txt inoffensif dans une requête Salesforce ou un portail Experience Cloud. Sans protection contre le reniflage de contenu activée, le navigateur d'un utilisateur sans méfiance « devine » la véritable nature du fichier et exécute le script masqué, permettant à l'assaillant de voler en silence les cookies de session actifs de l'utilisateur et d'exfiltrer les données confidentielles.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
n.a.
Risque plus élevé quand
Le risque de reniflage MIME est considérablement aggravé par l'absence d'une stratégie de sécurité des contenus (CSP) robuste, qui servirait autrement de défense secondaire pour bloquer l'exécution de scripts non autorisés.
Risque faible ou nul
Pour compenser l'absence de protection contre le reniflage de contenus, les organisations doivent mettre en œuvre une Stratégie de sécurité des contenus (CSP) stricte qui bloque explicitement l'exécution de scripts non autorisés ou en ligne, agissant comme un pare-feu secondaire contre les charges utiles « reniflées ».
De plus, le déploiement de programmes malveillants automatisés et l'analyse de type de fichier pour tous les chargements garantit que les fichiers malveillants (scripts déguisés en images) sont interceptés et neutralisés avant qu'un navigateur n'ait jamais la possibilité de les mal interpréter.
Considérations relatives à l'entreprise et à l'intégration
n.a.
Remédiation recommandée
Activez la protection contre le reniflage de contenus.
Guide d'examen sanitaire de sécurité
Security Health Review inspecte la configuration Paramètres de session pour vérifier si la Protection contre le reniflage de contenus est activée, conformément aux meilleures pratiques de l'industrie.
