Olet tässä:
Upotettu sisäänkirjautumisen hallinta
Upotettu sisäänkirjautuminen on vanha ominaisuus, jonka avulla voit asettaa sisäänkirjautumislomakkeen suoraan ulkoiselle verkkosivulle käyttämällä vähän JavaScript-koodia.
Ohjaimen nimi
Upotettu sisäänkirjautuminen
Suositeltu kokoonpano
Salesforce Identityn upotetun sisäänkirjautumisen avulla asiakkaat voivat integroida Salesforcen sisäänkirjautumisominaisuuksia omalle ulkoiselle verkkosivustolleen. Tätä asetusta ei suositella.
Ohjauksen yleiskatsaus
Upotettu sisäänkirjautuminen on vanha ominaisuus, jonka avulla voit asettaa sisäänkirjautumislomakkeen suoraan ulkoiselle verkkosivulle käyttämällä pientä JavaScript-kohdetta ja <iframe>-muotoista rakennetta.
Tietoturvariski, jos ei määritetty
Upotettua sisäänkirjautumista ei suositella, koska se aiheuttaa suurta riskiä clickjacking- ja cross-site scripting (XSS) -toiminnoille, koska sisäänkirjautumiskäyttöliittymä on teknisesti "isännöity" ulkoisessa, kolmannen osapuolen sivustossa, eikä erillisessä, turvallisessa Salesforce-toimialueessa.
Uhkien skenaariot
Hyökkääjä vaarantaa isännöivän verkkopalvelimen ja syöttää upotettuun sisäänkirjautumiskomentosarjaan haitallisen koodin, jotta hän voi tallentaa ja siepata käyttäjätunnuksia, kun niitä kirjoitetaan lomakkeeseen.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Koska todennus tapahtuu ulkoisessa kehyksessä, käyttäjä menettää Salesforcen brändätyn URL-palkin visuaalisen suojauksen, jolloin hänellä on lähes mahdotonta vahvistaa, että hän käyttää oikeaa sisäänkirjautumisportaalia.
Korkeampi riski, kun
Jos isännöivällä verkkosivustolla ei ole tiukkaa Content Security Policy (CSP) -käytäntöä tai jos sillä ei ole tarkkoja suojausotsakkeita, jotka kertovat selaimelle tarkalleen, mitkä toimialueet ovat valtuutettuja näyttämään sisäänkirjautumislomake kehyksessä, sivusto on avoinna valtuuttamattomien kolmansien osapuolten sivujen kaappauksille.
Matalan riskin milloin
Tämä skenaario on vähemmän riskialtis vain, kun ulkoinen sivusto on täysin hallittu, erittäin turvallinen ja käyttää rajoittavimpia selainpohjaisia suojausotsakkeita eristääkseen upotetun sisäänkirjautumiskoodin.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Upotetun sisäänkirjautumisen ylläpito vaatii kehittäjien huoltoa varmistaakseen, että kolmannen osapuolen sivuston JavaScript pysyy yhteensopivana Salesforcen kehittyvien suojauspäivitysten ja evästeiden käsittelykäytäntöjen kanssa.
Suositeltu korjaus
Sen sijaan, että organisaatiot käyttäisivät upotettua sisäänkirjautumista, heidän tulisi siirtyä Headless Identityen mukautettua käyttöliittymää varten tai käyttää vakiomuotoisia OAuth 2.0 -uudelleenohjauksen kulkuja varmistaakseen, että todennus tapahtuu kovennetussa Salesforce-toimialueessa.
Tietoturvan terveystarkastuksen ohjeet
Security Health Review ei suosittele upotetun sisäänkirjautumisen käyttöä, koska se on riippuvainen iframe-kehyksistä, mikä aiheuttaa merkittäviä clickjacking-riskejä ja usein istuntojen epäonnistumisia, jotka johtuvat kolmannen osapuolen evästeiden nykyaikaisista selainrajoituksista.
