Sie befinden sich hier:
Einstellungen der externen Client-Anwendung: Maskierung von REST-API-Geheimnissen
Diese Sicherheitseinstellung blockiert die Abfrage oder den Abruf vertraulicher OAuth-Verbrauchergeheimnisse im Nur-Text-Format über programmgesteuerte REST-API-Aufrufe.
Steuerelementname
Einstellungen der externen Client-Anwendung: Maskierung von REST-API-Geheimnissen
Empfohlene Konfiguration
Ermöglichen Sie den Zugriff auf Verbrauchergeheimnisse der externen Client-Anwendung über die REST-API – Aus.
Steuerelementübersicht
Diese Sicherheitseinstellung blockiert die Abfrage oder den Abruf vertraulicher OAuth-Verbrauchergeheimnisse im Nur-Text-Format über programmgesteuerte REST-API-Aufrufe.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn dieser Zugriff aktiviert ist, kann jeder authentifizierte Benutzer oder jede Anwendung mit ausreichenden API-Berechtigungen diese Anmeldeinformationen mit hohem Wert programmgesteuert extrahieren, was zur potenziellen Massenoffenlegung von Authentifizierungsgeheimnissen führt.
Bedrohungsszenarien
Ein Angreifer kompromittiert einen Benutzeraccount mit administrativen oder Entwicklerberechtigungen und führt ein Skript aus, um alle Verbrauchergeheimnisse über die REST-API abzurufen, um persistenten, nicht autorisierten Zugriff auf integrierte Systeme zu erhalten.
Überlegungen zu Risikoauswirkungen
Durch die Offenlegung dieser Geheimnisse kann ein nicht autorisierter Akteur Standardanmeldeprotokolle umgehen und sich als vertrauenswürdige externe Anwendung ausgeben, was zu einer vollständigen Kompromittierung der zwischen Systemen freigegebenen Daten führt.
Höheres Risiko, wenn
Ihre Organisation verwendet viele Integrationstools von Drittanbietern, die über umfassenden Zugriff auf die REST-API verfügen, da eine einzelne kompromittierte Integration zum Diebstahl aller anderen Anwendungsgeheimnisse führen könnte.
Geringes Risiko, wenn
Wenn Sie strenge IP-Adresseinschränkungen für den gesamten API-Zugriff implementiert haben und Sitzungstoken mit kurzer Lebensdauer verwenden, die das Zeitfenster für die Ausführung von Extraktionsskripts durch einen Angreifer einschränken.
Überlegungen zu Unternehmen und Integration
Durch Deaktivieren dieses Zugriffs wird verhindert, dass benutzerdefinierte Verwaltungstools oder automatisierte Überwachungsskripts die von Ihren externen Anwendungen verwendeten Verbrauchergeheimnisse programmgesteuert überprüfen oder überprüfen.
Empfohlene Sanierung
Wechseln Sie unter "Setup" zu den Einstellungen für externe Client-Anwendungen und stellen Sie sicher, dass der Umschalter für den Zugriff auf Verbrauchergeheimnisse über die REST-API deaktiviert ist.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Einschränkung des geheimen Zugriffs über die REST-API als obligatorischen Architekturstandard, um sicherzustellen, dass vertrauliche Anmeldeinformationen verschlüsselt bleiben und nur über die sichere Salesforce-Benutzeroberfläche aufgerufen werden können.
