Loading
Impostazione e gestione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            Intestazioni di protezione multiorigine

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Impostazione e gestione dell'organizzazione Salesforce

            Intestazioni di protezione multiorigine

            Abilitazione della policy per l'apertura multiorigine (COOP) e della policy per l'inserimento multiorigine (COEP) nelle impostazioni di sessione di Salesforce.

            Nome controllo

            Sicurezza multiorigine

            Configurazione consigliata

            • Abilitazione della policy sui multiorigine (COOP)
            • Abilitazione di Cross-Origin Embedder Policy (COEP)

            Imposta>Impostazioni di sessione>Abilitazione della policy per l'apertura multiorigine (COOP)|Cross-Origin Embedder Policy (COEP).

            Panoramica sul controllo

            L'abilitazione della policy per gli opener multiorigine (COOP) e della policy per l'incorporamento multiorigine (COEP) nelle impostazioni di sessione di Salesforce è un controllo di sicurezza che stabilisce un ambiente "isolato tra origini" isolando il contesto di esplorazione della pagina dalle finestre esterne e richiedendo a tutte le risorse incorporate di acconsentire esplicitamente tramite le intestazioni CORS. In questo modo si evita che documenti dannosi tra origini interagiscano con le pagine Salesforce o utilizzino attacchi a canali laterali come Spectre per far trapelare dati sensibili dalla memoria del browser.

            Rischio per la sicurezza se non configurato

            Se non si abilitano la policy COOP (Cross-Origin Opener Policy) e la policy COEP (Cross-Origin Embedder Policy) la sessione del browser viene esposta ad attacchi a canale laterale in stile Spectre, in cui un sito dannoso può potenzialmente leggere dati sensibili, ad esempio token di sessione o dettagli di record, direttamente dalla memoria del processo del browser.

            Scenari di minaccia

            Un utente accede a un sito Web dannoso in una scheda del browser mentre la sessione Salesforce è attiva in un'altra scheda, consentendo all'autore dell'attacco di sfruttare la mancanza di isolamento a livello di processo. Utilizzando tecniche di canale laterale come Spectre, il sito dannoso può quindi leggere in modo silenzioso i dati sensibili, ad esempio token di sessione o dettagli di record privati, direttamente dalla memoria condivisa del browser.

            Intervallo di punteggi CVSS stimato

            Critico (9.0–10.0).

            Considerazioni sull'impatto del rischio

            La mancata implementazione di questi controlli crea un rischio operativo significativo, poiché rende l'organizzazione vulnerabile all'esfiltrazione di dati tramite finestre tra origini dannose, mentre al contrario, un'abilitazione improvvisa senza test appropriati può interrompere integrazioni di terze parti, iFrame e flussi di autenticazione basati su OAuth critici.

            Rischio maggiore quando

            Il rischio di attacchi sui canali laterali è notevolmente peggiorato dalla mancanza di una policy per la sicurezza dei contenuti (CSP) efficace e dalla mancanza di intestazioni CORP (Cross-Origin Resource Policy), che insieme non riescono a limitare il caricamento di script dannosi e risorse secondarie non autorizzate.

            Inoltre, l'assenza di configurazioni CORS rigorose e di "URL affidabili" non monitorati consente ai domini esterni di caricare facilmente le pagine Salesforce nel proprio contesto di navigazione, creando una superficie di attacco molto più ampia per gli exploit di fuga di dati.

            Rischio basso o nullo quando

            Per ridurre al minimo il rischio di fughe di dati tra origini quando COOP e COEP non sono abilitati, le organizzazioni devono implementare una policy rigorosa per la sicurezza dei contenuti (CSP) per limitare il caricamento di script e risorse esterne solo ai domini verificati e affidabili.

            Inoltre, l'imposizione di brevi timeout di sessione, la richiesta dell'autenticazione a più fattori (MFA) e l'utilizzo di Salesforce Shield Event Monitoring possono fornire un livello vitale di difesa in profondità riducendo la finestra per gli attacchi sui canali laterali e fornendo il rilevamento in tempo reale di schemi di accesso ai dati sospetti.

            Considerazioni su Business e integrazione

            Valutare come l'organizzazione interagisce con i contenuti esterni e le finestre di terze parti. Queste intestazioni vengono utilizzate per ottenere uno stato "isolato tra origini", che protegge dagli attacchi in stile Spectre ma può anche interrompere le funzionalità esistenti.

            Rimedio consigliato

            Abilitare COOP e COEP in Impostazioni di sessione.

            Guida all'esame dello stato della sicurezza

            Esaminare la configurazione delle impostazioni di sessione verificando che COOP e COEP siano abilitati in linea con le procedure consigliate del settore.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article