Sie befinden sich hier:
Gastbenutzerzugriff: Site-Voreinstellungen für den Gastzugriff auf die API-Steuerung
Diese Sicherheitsvoreinstellung dient als Mastergate, das bestimmt, ob nicht authentifizierte Besucher mit den zugrunde liegenden Salesforce Connect- und öffentlichen REST-Endpunkten einer Experience Cloud-Site interagieren können.
Steuerelementname
Gastbenutzerzugriff: Site-Voreinstellungen für den Gastzugriff auf die API
Empfohlene Konfiguration
Legen Sie Digitale Erfahrung>Alle Sites>Arbeitsumgebung>Verwaltung|Voreinstellungen>Zugriff auf die öffentliche API für Gastbenutzer auf Deaktiviert/Deaktiviert fest.
Steuerelementübersicht
Diese Sicherheitsvoreinstellung dient als Mastergate, das bestimmt, ob nicht authentifizierte Besucher mit den zugrunde liegenden Salesforce Connect- und öffentlichen REST-Endpunkten einer Experience Cloud-Site interagieren können.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn dieser Zugriff aktiviert ist, bietet er anonymen Akteuren einen offenen programmatischen Kanal (API), um Site-Metadaten abzufragen und zu versuchen, Datensatzdaten zu extrahieren, die versehentlich durch unsichere Berechtigungen auf Objektebene verfügbar gemacht wurden.
Bedrohungsszenarien
Ein Angreifer verwendet automatisierte Skripts, um die öffentlichen API-Endpunkte aufzurufen, die interne Struktur benutzerdefinierter Objekte zu ermitteln und systematisch alle Datensätze herunterzuladen, die nicht streng durch ein privates Freigabemodell geschützt sind.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Die Zulassung anonymer API-Zugriffe erhöht die Wahrscheinlichkeit von Datenschrammen mit hohem Volumen und Diebstahl geistigen Eigentums erheblich, was zu strengen behördlichen Sanktionen und einem Verlust an Wettbewerbsvorteilen führen kann.
Höheres Risiko, wenn
Wenn dem Gastbenutzerprofil Lesezugriff auf Objekte mit vertraulicher Geschäftslogik erteilt wurde oder wenn die Site benutzerdefinierte Apex-Steuerfelder verwendet, die nicht für die nicht authentifizierte Verwendung gehärtet wurden.
Geringes Risiko, wenn
Die Site ist rein statisch und verwendet keine standardmäßigen oder benutzerdefinierten Objekte, die vertrauliche oder proprietäre Informationen speichern würden.
Überlegungen zu Unternehmen und Integration
Durch Deaktivieren dieser Voreinstellung können bestimmte externe Suchmaschinen oder Drittanbieter-Webkomponenten daran gehindert werden, Inhalte öffentlicher Sites, die auf Echtzeit-API-Abfragen basieren, richtig zu indizieren und anzuzeigen.
Empfohlene Sanierung
Wechseln Sie zum Abschnitt "Verwaltung" der Site-Arbeitsumgebung, wählen Sie Voreinstellungen aus und stellen Sie sicher, dass das Kontrollkästchen für den Zugriff auf die öffentliche API für Gastbenutzer deaktiviert ist.
Anleitung zur Sicherheitsintegritätsprüfung
Bei der Sicherheitsintegritätsprüfung wird die Einschränkung des öffentlichen API-Zugriffs als obligatorischer Architekturstandard identifiziert. Dadurch wird sichergestellt, dass Daten nur über kontrollierte Benutzeroberflächenkomponenten und nicht über offene und unüberwachte API-Schnittstellen (Programmatic Interfaces) zur Verfügung gestellt werden.
