Du er her:
Innebygd pÄloggingskontroll
Innebygd pÄlogging er en eldre funksjon som lar deg legge inn et pÄloggingsskjema direkte pÄ en ekstern nettside med en liten bit JavaScript.
Navn pÄ kontroll
Innebygd pÄlogging
Anbefalt konfigurasjon
Med Salesforce Identity Innebygd pÄlogging kan kunder integrere Salesforce-pÄloggingsfunksjonalitet i sitt eget eksterne nettsted. Denne kontrollen anbefales ikke.
Oversikt over kontroll
Innebygd pÄlogging er en eldre funksjon som lar deg legge inn et pÄloggingsskjema direkte pÄ en ekstern nettside ved hjelp av en liten bit JavaScript og en <iframe>-lignende struktur.
Sikkerhetsrisiko hvis ikke konfigurert
Innebygd pÄlogging anbefales ikke fordi det skaper en hÞy risiko for klikkkapring og skripting pÄ tvers av nettsteder (XSS) fordi pÄloggingsgrensesnittet teknisk sett er "vert" pÄ et eksternt tredjeparts nettsted i stedet for pÄ et dedikert, sikkert Salesforce-domene.
Trusselscenarier
En angriper kompromitterer vertsnettserveren og injiserer skadelig kode i det innebygde pÄloggingsskriptet for Ä "sniffe" og fange opp brukerlegitimasjon etter hvert som de skrives inn i skjemaet.
Beregnet CVSS Score-omrÄde
Kritisk (9.0â10.0).
Viktige punkter om risikoinnvirkning
I og med at godkjenningen skjer innenfor en ekstern ramme, mister brukeren den visuelle sikkerheten til URL-linjen med Salesforce-merkeprofilering, noe som gjÞr det nesten umulig for dem Ä bekrefte at de samhandler med en legitim pÄloggingsportal.
HÞyere risiko nÄr
Hvis vertsnettstedet ikke har en streng innholdssikkerhetspolicy (CSP) eller hvis det mangler spesifikke sikkerhetshoder som forteller nettleseren nÞyaktig hvilke domener som er autorisert til Ä vise pÄloggingsskjemaet i en ramme, forlater nettstedet Äpent for kapring av uautoriserte tredjepartssider.
Lav risiko nÄr
Scenariet er lavere risiko bare nÄr det eksterne nettstedet er fullt administrert, svÊrt sikkert og bruker de mest restriktive nettleserbaserte sikkerhetshodene til Ä isolere den innebygde pÄloggingskoden.
Viktige punkter om virksomheten og integrasjonen
Vedlikehold av Innebygd pÄlogging krever tungt utviklervedlikehold for Ä sikre at tredjepartsnettstedets JavaScript forblir kompatibelt med Salesforces utviklende sikkerhetsoppdateringer og policyer for hÄndtering av informasjonskapsler.
Anbefalt rettelse
I stedet for Ä bruke Innebygd pÄlogging bÞr organisasjoner gÄ over til Headless Identity for et tilpasset grensesnitt eller bruke standard OAuth 2.0-omdirigeringsflyter for Ä forsikre seg om at godkjenning skjer pÄ et herdet Salesforce-domene.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering anbefaler ikke bruk av Innebygd pÄlogging pÄ grunn av dets avhengighet av iframe-enheter, som introduserer betydelige klikkkapriser og hyppige Þktfeil forÄrsaket av moderne nettleserbegrensninger for tredjeparts informasjonskapsler.
