Loading
Настройка и обслуживание организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Заголовки безопасности с запросом происхождения

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Настройка и обслуживание организации Salesforce

            Заголовки безопасности с запросом происхождения

            Включение политики открытия с запросом происхождения (COOP) и политики внедрения с запросом происхождения (COEP) в параметрах сеанса Salesforce.

            Управление именем

            Безопасность с запросом происхождения

            Рекомендованная конфигурация

            • Включение политики открытия с запросом происхождения (COOP)
            • Включение политики эмбеддера с запросом происхождения (COEP)

            Настройка>Параметры сеанса>Включение политики открытия с запросом происхождения (COOP)|Политика эмбеддера с запросом происхождения (COEP).

            Общие сведения о контроле

            Включение политики открытия с запросом происхождения (COOP) и политики встраивания с запросом происхождения (COEP) в параметрах сеанса Salesforce является средством контроля безопасности, которое устанавливает «изолированную среду с запросом происхождения», изолируя контекст просмотра страницы от внешних окон и требуя от всех встроенных ресурсов явного согласия посредством заголовков CORS. Это предотвращает взаимодействие вредоносных документов кросс-происхождения со страницами Salesforce или использование атак побочных каналов, например, Spectre, для утечки конфиденциальных данных из памяти обозревателя.

            Риск безопасности, если он не настроен

            Отключение политики открытия с запросом происхождения (COOP) и политики внедрения с запросом происхождения (COEP) подвергает сеанс обозревателя атакам бокового канала в стиле «Спектр», где вредоносный сайт может потенциально прочитать конфиденциальные данные (например, маркеры сеанса или сведения о записи) напрямую из памяти процесса обозревателя.

            Сценарии угроз

            Пользователь посещает вредоносный веб-сайт на одной вкладке обозревателя, в то время как его сеанс Salesforce активен на другой, что позволяет злоумышленнику использовать отсутствие изоляции на уровне процесса. Используя методы бокового канала, например, Spectre, вредоносный сайт потом может негласно прочитать конфиденциальные данные (например, маркеры сеанса или сведения о личной записи) напрямую из общедоступной памяти обозревателя.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Неспособность внедрить эти элементы управления создает значительный операционный риск, поскольку она делает организацию уязвимой для извлечения данных посредством вредоносных окон с запросом происхождения, в то время как внезапное включение без надлежащего тестирования может нарушить важные сторонние интеграции, iframe и потоки проверки подлинности на основе OAuth.

            Повышенный риск при

            Риск атак по побочным каналам значительно возрастает из-за отсутствия надежной политики безопасности содержимого (CSP) и отсутствия заголовков политики ресурсов с запросом происхождения (CORP), которые в совокупности не ограничивают загрузку вредоносных сценариев и несанкционированных подресурсов.

            Кроме того, отсутствие строгих конфигураций CORS и неотслеживаемых «надежных URL-адресов» позволяет внешним доменам легко загружать страницы Salesforce в собственном контексте просмотра, создавая намного большую поверхность атаки для эксплойтов утечки данных.

            Низкий или нулевой риск при

            Чтобы свести к минимуму риск утечек данных с запросом происхождения, когда COOP и COEP не включены, организациям следует внедрить строгую политику безопасности содержимого (CSP) для ограничения загрузки внешних сценариев и ресурсов только проверенными и надежными доменами.

            Кроме того, внедрение коротких истечений времени ожидания сеанса, требование многофакторной проверки подлинности (MFA) и использование мониторинга событий Salesforce Shield может обеспечить жизненно важный уровень глубокой защиты, уменьшив возможности для атак по побочным каналам и предоставив обнаружение подозрительных схем доступа к данным в режиме реального времени.

            Рекомендации по бизнесу и интеграции

            Оцените способ взаимодействия организации с внешним содержимым и сторонними окнами. Эти заголовки используются для достижения состояния «изоляция с запросом происхождения», которое защищает от атак в стиле «Спектр», но также может нарушить существующие функции.

            Рекомендованное исправление

            Включите COOP и COEP в параметрах сеанса.

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности проверяет конфигурацию параметров сеанса, проверяя включение COOP и COEP на соответствие рекомендациям отрасли.

            См. также:

             
            Загрузка
            Salesforce Help | Article