Ti trovi qui:
Protezione dallo sniffing dei contenuti
Per evitare che i browser interpretino erroneamente i file come script eseguibili, gli amministratori Salesforce devono abilitare "Abilita protezione dallo sniffing di contenuti" nel menu Impostazioni di sessione.
Nome controllo
Protezione dallo sniffing dei contenuti
Configurazione consigliata
- Abilita protezione con sniffing di contenuti
Imposta>Impostazioni di sessione>Protezione dallo sniffing di contenuti.
Panoramica sul controllo
Per evitare che i browser interpretino in modo non corretto i file come script eseguibili, gli amministratori Salesforce devono abilitare "Abilita protezione dallo sniffing di contenuti" nel menu Impostazioni di sessione per applicare l'intestazione X-Content-Type-Options: nosniff.
Rischio per la sicurezza se non configurato
La mancata abilitazione della protezione dallo sniffing dei contenuti consente ai browser di ignorare il tipo di file dichiarato dal server e di "indovinare" il tipo MIME in base al contenuto di un file, creando una vulnerabilità in cui un browser può eseguire un file dall'aspetto innocuo (come un file di immagine o di testo) come script dannoso. Questa svista aumenta in modo significativo il rischio di attacchi di cross-site scripting (XSS) e download drive-by.
Scenari di minaccia
Un aggressore carica un payload JavaScript dannoso mascherato da un file .png o .txt innocuo in un caso Salesforce o nel portale Experience Cloud. Senza la protezione dallo sniffing dei contenuti abilitata, il browser di un utente ignaro "indovina" la vera natura del file ed esegue lo script nascosto, consentendo all'autore dell'attacco di rubare silenziosamente i cookie di sessione attivi dell'utente ed esfiltrare dati sensibili.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
N/D
Rischio maggiore quando
Il rischio di sniffing MIME è significativamente aggravato dalla mancanza di una Content Security Policy (CSP) efficace, che altrimenti fungerebbe da difesa secondaria per bloccare l'esecuzione di script non autorizzati.
Rischio basso o nullo quando
Per ovviare all'assenza di protezione dallo sniffing di contenuti, le organizzazioni dovrebbero implementare una policy di sicurezza dei contenuti (CSP) rigorosa che blocchi esplicitamente l'esecuzione di script non autorizzati o in linea, fungendo da firewall secondario contro i payload "sniffati".
Inoltre, la distribuzione di malware automatici e la scansione dei tipi di file per tutti i caricamenti garantisce che i file dannosi (script mascherati da immagini) vengano intercettati e neutralizzati prima che un browser abbia la possibilità di interpretarli in modo errato.
Considerazioni su Business e integrazione
N/D
Rimedio consigliato
Abilitare la protezione dallo sniffing dei contenuti.
Guida all'esame dello stato della sicurezza
Controllo dello stato della sicurezza esamina la configurazione delle impostazioni di sessione per verificare che la protezione dallo sniffing dei contenuti sia abilitata, in linea con le procedure consigliate del settore.
