Vous êtes ici :
Accès utilisateur invité : Préférences de site pour le contrôle des utilisateurs invités
Ce paramètre de sécurité empêche les visiteurs non authentifiés d'accéder à la liste complète des utilisateurs, membres et contributeurs inscrits dans un site Experience Cloud.
Nom du contrôle
Accès utilisateur invité : Préférences de site pour les utilisateurs invités
Configuration recommandée
Définissez Expérience numérique>Tous les sites>Espace de travail>Administration|Préférences>Autoriser les utilisateurs invités à afficher les autres membres de ce site sur désactivé.
Vue d'ensemble du contrôle
Ce paramètre de sécurité empêche les visiteurs non authentifiés d'accéder à la liste complète des utilisateurs, membres et contributeurs inscrits dans un site Experience Cloud.
Risque de sécurité s'il n'est pas configuré
Lorsque cette préférence est active, les utilisateurs anonymes peuvent énumérer systématiquement les noms, les titres et les détails de profil de tous les membres de la communauté, ce qui entraîne la divulgation non autorisée de votre répertoire de clients ou de partenaires.
Scénarios de menace
Un acteur malveillant utilise un script automatisé pour retirer le site des noms d'utilisateur et des détails d'identité valides, qui sont ensuite utilisés pour lancer des attaques par hameçonnage ciblées ou des campagnes de bourrage d'identifiants contre vos utilisateurs.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'exposition de l'annuaire des membres entraîne une violation importante de la vie privée des utilisateurs et peut entraîner une collecte de veille concurrentielle ou la compromission de comptes à forte valeur par l'ingénierie sociale.
Risque plus élevé quand
Le risque est plus élevé pour les sites de réseautage professionnels ou partenaires dans lesquels les profils des membres contiennent des détails professionnels confidentiels, des coordonnées ou des affiliations propriétaires.
Risque faible quand
Si les profils de site sont déjà restreints pour afficher uniquement des informations génériques et ne contiennent pas de noms réels ou d'adresses e-mail.
Considérations relatives à l'entreprise et à l'intégration
La désactivation de cette fonctionnalité peut affecter l'expérience utilisateur des sites élaborés pour la collaboration publique, car elle empêche les visiteurs anonymes de voir qui d'autre participe à la communauté avant de se connecter.
Remédiation recommandée
Accédez à la section Administration de l'espace de travail du site, sélectionnez Préférences, puis assurez-vous que la case permettant aux utilisateurs invités d'afficher les autres membres est désactivée.
Guide d'examen sanitaire de sécurité
Security Health Review identifie le masquage de l'annuaire des membres comme un contrôle de confidentialité obligatoire, s'assurant que les données d'identité des utilisateurs sont visibles uniquement pour les participants authentifiés qui ont un besoin métier légitime.
