Loading
Configuration et maintenance de votre organisation Salesforce
Table des matières
Filtrer par (0)Ajouter
Sélectionner des filtres

          Aucun résultat
          Aucun résultat
          Voici quelques conseils de recherche

          Vérifiez l'orthographe de vos mots-clés.
          Utilisez des termes de recherche plus généraux.
          Sélectionnez moins de filtres pour élargir votre recherche.

            Recherchez dans toute l’aide de Salesforce
            Recherchez dans toute l’aide de Salesforce
            En-têtes de sécurité d'origine croisée

            Vous êtes ici :

            1. Aide de Salesforce
            2. Documents
            3. Configuration et maintenance de votre organisation Salesforce

            En-têtes de sécurité d'origine croisée

            Activation de la stratégie d'ouverture d'origine croisée (COOP) et de la stratégie d'incorporation d'origine croisée (COEP) dans les paramètres de session de Salesforce.

            Nom du contrôle

            Sécurité d'origine croisée

            Configuration recommandée

            • Activer la stratégie d'ouverture d'origine croisée (COOP)
            • Activer la stratégie d'incorporation d'origine croisée (COEP)

            Configuration>Paramètres de session>Activer la stratégie d'ouverture d'origine croisée (COOP)|Stratégie d'incorporation d'origine croisée (COEP).

            Vue d'ensemble du contrôle

            L'activation de la stratégie d'ouverture d'origine croisée (COOP) et de la stratégie d'incorporation d'origine croisée (COEP) dans les paramètres de session Salesforce est un contrôle de sécurité qui établit un environnement « isolé d'origine croisée » en isolant le contexte de navigation de la page des fenêtres externes et en demandant à toutes les ressources incorporées de s'abonner explicitement via des en-têtes CORS. Cela empêche les documents d'origine croisée malveillants d'interagir avec vos pages Salesforce ou d'utiliser des attaques latérales telles que Spectre pour faire fuiter des données confidentielles de la mémoire du navigateur.

            Risque de sécurité s'il n'est pas configuré

            Le fait de ne pas activer la Stratégie d'ouverture d'origine croisée (COOP) et la Stratégie d'incorporation d'origine croisée (COEP) expose la session du navigateur à des attaques de canal latéral de type Spectre, dans lesquelles un site malveillant peut lire des données confidentielles, telles que des jetons de session ou des détails d'enregistrement, directement depuis la mémoire du processus du navigateur.

            Scénarios de menace

            Un utilisateur visite un site Web malveillant dans un onglet de navigateur alors que sa session Salesforce est active dans un autre, ce qui permet à l'assaillant d'exploiter l'absence d'isolation au niveau du processus. En utilisant des techniques de canal latéral telles que Spectre, le site malveillant peut lire en silence des données confidentielles, telles que des jetons de session ou des détails d'enregistrement privé, directement depuis la mémoire partagée du navigateur.

            Plage de score CVSS estimée

            Critique (9,0 à 10,0).

            Considérations relatives à l'impact sur le risque

            Ne pas implémenter ces contrôles entraîne un risque opérationnel important, car cela expose l'organisation à l'exfiltration de données via des fenêtres d'origine croisée malveillantes, alors qu'inversement, une activation soudaine sans test approprié peut rompre les intégrations tierces critiques, les iframes et les flux d'authentification basés sur OAuth.

            Risque plus élevé quand

            Le risque d'attaques par canal latéral est considérablement aggravé par l'absence d'une stratégie de sécurité des contenus (CSP) robuste et l'absence d'en-têtes CORP (Stratégie des ressources d'origine croisée), qui ne parviennent pas à limiter le chargement de scripts malveillants et de ressources secondaires non autorisées.

            De plus, l'absence de configurations CORS strictes et d'URL approuvées non surveillées permet aux domaines externes de charger aisément vos pages Salesforce dans leur propre contexte de navigation, créant ainsi une surface d'attaque beaucoup plus grande pour les exploits de fuite de données.

            Risque faible ou nul

            Pour limiter le risque de fuite de données d'origine croisée lorsque COOP et COEP ne sont pas activés, les organisations doivent mettre en œuvre une Stratégie de sécurité des contenus stricte (CSP) afin de limiter le chargement de scripts et de ressources externes aux domaines vérifiés et approuvés.

            De plus, l'application automatique d'expirations de session courtes, l'exigence de l'authentification multifacteur (MFA) et l'utilisation de Salesforce Shield Event Monitoring peuvent fournir une couche vitale de défense en profondeur en réduisant la fenêtre pour les attaques de canal latéral et en fournissant une détection en temps réel des modèles d'accès aux données suspects.

            Considérations relatives à l'entreprise et à l'intégration

            Évaluez comment votre organisation interagit avec des contenus externes et des fenêtres tierces. Ces en-têtes sont utilisés pour atteindre un état « cross-originisolation », qui protège contre les attaques de type Spectre, mais peut également rompre les fonctionnalités existantes.

            Remédiation recommandée

            Activez COOP et COEP dans Paramètres de session.

            Guide d'examen sanitaire de sécurité

            L'examen de l'intégrité de la sécurité inspecte la configuration Paramètres de session pour vérifier que COOP et COEP sont activés conformément aux meilleures pratiques de l'industrie.

            Voir également :

             
            Chargement
            Salesforce Help | Article