U bent hier:
Instellingen van de externe clientapp: Bescherming van metagegevensgeheimen
Deze beveiligingsinstelling voorkomt dat de gevoelige consumentengeheimen met platte tekst die worden gebruikt voor OAuth-authenticatie, worden opgehaald of geëxporteerd via de Salesforce-API voor metagegevens.
Controlenaam
Instellingen van de externe clientapp: Bescherming van metagegevensgeheimen
Aanbevolen configuratie
Sta toegang toe tot consumentengeheimen van de Externe client-app via de API voor metagegevens - Uit.
Overzicht van besturingselementen
Deze beveiligingsinstelling voorkomt dat de gevoelige consumentengeheimen met platte tekst die worden gebruikt voor OAuth-authenticatie, worden opgehaald of geëxporteerd via de Salesforce-API voor metagegevens.
Beveiligingsrisico indien niet geconfigureerd
Wanneer deze toegang is ingeschakeld, kan elke gebruiker of geautomatiseerd proces met machtigingen voor lezen van metagegevens cryptografische geheimen extraheren naar lokale bestanden, versiebeheersystemen of ontwikkelaarsomgevingen, waardoor een enorme kwetsbaarheid ontstaat voor inloggegevensdiefstal.
Dreigingsscenario's
Een ontwikkelaar plaatst per ongeluk een geëxporteerd metagegevensbestand met daarin een consumentengeheim in platte tekst in een openbare coderepository, waardoor een externe aanvaller de identiteit van de geïntegreerde toepassing kan kapen.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Door het openbaar maken van een consumentengeheim kan een niet-geverifieerde partij zich voordoen als een vertrouwde toepassing, waardoor potentieel volledige toegang wordt verkregen tot de gegevens en beheerfuncties van de gekoppelde Salesforce-organisatie.
Hoger risico wanneer
Als uw bedrijf vaak doorlopende integratie- en implementatietools van derden gebruikt die metagegevens automatisch naar externe, minder veilige omgevingen halen.
Laag risico wanneer
Als u de machtigingen voor het wijzigen van alle gegevens en weergeven van set-up hebt beperkt tot een zeer kleine groep zeer vertrouwde Salesforce-beheerders en versleutelde omgevingsvariabelen hebt gebruikt voor alle externe integraties.
Overwegingen bij bedrijf en integratie
Het uitschakelen van deze toegang betekent dat ontwikkelaars geen standaardtools voor de implementatie van metagegevens kunnen gebruiken om geheimen te verplaatsen tussen omgevingen, waarbij handmatige invoer of injectie van gespecialiseerde beveiligde inloggegevens vereist is tijdens het implementatieproces.
Aanbevolen oplossing
Ga naar de instellingen van Externe clientapps in Set-up en zorg ervoor dat de aan-/uitfunctie voor het toestaan van toegang tot consumentengeheimen via de API voor metagegevens is ingesteld op uitgeschakeld.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert het maskeren van consumentengeheimen als een verplichte standaard voor geheimbeheer, zodat gevoelige authenticatiegegevens nooit de versleutelde grenzen van het Salesforce-platform verlaten.
