Sie befinden sich hier:
Einstellungen der externen Client-Anwendung: Schutz von Metadatengeheimnissen
Diese Sicherheitseinstellung verhindert, dass die sensiblen Nur-Text-Verbrauchergeheimnisse, die für die OAuth-Authentifizierung verwendet werden, über die Salesforce-Metadaten-API abgerufen oder exportiert werden.
Steuerelementname
Einstellungen der externen Client-Anwendung: Schutz von Metadatengeheimnissen
Empfohlene Konfiguration
Ermöglichen Sie den Zugriff auf Verbrauchergeheimnisse der externen Client-Anwendung über die Metadaten-API – Aus.
Steuerelementübersicht
Diese Sicherheitseinstellung verhindert, dass die sensiblen Nur-Text-Verbrauchergeheimnisse, die für die OAuth-Authentifizierung verwendet werden, über die Salesforce-Metadaten-API abgerufen oder exportiert werden.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn dieser Zugriff aktiviert ist, kann jeder Benutzer oder automatisierte Prozess mit Berechtigungen zum Lesen von Metadaten kryptografische Geheimnisse in lokale Dateien, Versionskontrollsysteme oder Entwicklerumgebungen extrahieren, wodurch eine massive Sicherheitsanfälligkeit für Credential-Diebstahl entsteht.
Bedrohungsszenarien
Ein Entwickler überträgt versehentlich eine exportierte Metadatendatei mit einem Nur-Text-Verbrauchergeheimnis in ein öffentliches Code-Repository, wodurch ein externer Angreifer die Identität der integrierten Anwendung kapern kann.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Durch die Offenlegung eines Verbrauchergeheimnisses kann sich eine nicht autorisierte Person als vertrauenswürdige Anwendung ausgeben und erhält möglicherweise vollständigen Zugriff auf die Daten und Verwaltungsfunktionen der verknüpften Salesforce-Organisation.
Höheres Risiko, wenn
Wenn Ihr Unternehmen häufig kontinuierliche Integrations- und Bereitstellungstools von Drittanbietern verwendet, die Metadaten automatisch in externe, weniger sichere Umgebungen abrufen.
Geringes Risiko, wenn
Wenn Sie die Setup-Berechtigungen "Alle Daten ändern" und "Anzeigen" auf eine sehr kleine Gruppe von sehr vertrauenswürdigen Salesforce-Administratoren beschränkt haben und verschlüsselte Umgebungsvariablen für alle externen Integrationen verwenden.
Überlegungen zu Unternehmen und Integration
Durch Deaktivieren dieses Zugriffs können Entwickler keine standardmäßigen Metadatenbereitstellungstools verwenden, um Geheimnisse zwischen Umgebungen zu verschieben, was während des Bereitstellungsprozesses eine manuelle Eingabe oder das Einfügen spezieller sicherer Anmeldeinformationen erfordert.
Empfohlene Sanierung
Wechseln Sie unter "Setup" zu den Einstellungen für externe Client-Anwendungen und stellen Sie sicher, dass der Umschalter für den Zugriff auf Verbrauchergeheimnisse über die Metadaten-API deaktiviert ist.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Maskierung von Verbrauchergeheimnissen als obligatorischen Standard für die Geheimnisverwaltung, sodass Anmeldeinformationen für die vertrauliche Authentifizierung die verschlüsselten Grenzen der Salesforce Platform nie verlassen.
