Lightning

Kontrolnavn

Lightning

Anbefalet konfiguration

• Brug Lightning for Lightning og Aura-komponenter

Opsætning>Sessionsindstillinger>Brug Lightning til Lightning og Aura-komponenter.

Kontroller oversigt

Aktivering af Lightning Web Security (LWS) er en sikkerhedskontrol, der erstatter den ældre Lightning Locker med en moderne, virtualiseringsbaseret sandbox til Lightning. Den isolerer komponenter fra forskellige navneområder i deres egne JavaScript-sandboxes og bruger "forvrængninger" til dynamisk at redigere potentielt usikre API'er, hvilket forhindrer ondsindet kode i at forstyrre andre komponenter eller få adgang til uautoriserede data, mens den bevarer høj ydeevne.

Sikkerhedsrisiko, hvis den ikke er konfigureret

Hvis du ikke aktiverer Lightning Web Security (LWS), øges risikoen for dataudløb på tværs af navneområder og DOM-baserede angreb, da komponenter fra forskellige kilder muligvis mangler den robuste virtualisering, der er nødvendig for at forhindre dem i at få adgang til hinandens private data.

Trusselscenarier

En bruger installerer utilsigtet en ondsindet eller kompromitteret Lightning fra tredjepart, der i fravær af Lightning Web Security-virtualisering kan tilsidesætte navneområdegrænser for at få adgang til det globale JavaScript-miljø og DOM'et for andre komponenter. Dette giver rogue-komponenten mulighed for at scrape følsomme registreringsdata eller registrere brugerinput fra legitime Salesforce-komponenter på den samme side og udfiltrere oplysningerne til en ekstern angriberkontrolleret server.

Estimeret CVSS-scoringsinterval

Kritisk (9,0-10,0).

Overvejelser i forbindelse med risikopåvirkning

Risikoen øges med manglen på en sikker udviklingslivscyklus, der vurderer de komponenter, der er implementeret på platformen.

Højere risiko når

Manglende CSP til at blokere uautoriseret dataudfiltrering og begrænse kørslen af usikrede eksterne scripts.

Lav eller ingen risiko når

For at minimere risikoen, når Lightning Web Security (LWS) endnu ikke er aktiveret, bør organisationer strengt håndhæve en CSP (Refined Content Security Policy) for at blokere uautoriseret dataudtrækning og begrænse kørslen af usikrede eksterne scripts.

Endvidere giver udførelse af grundige sikkerhedsgennemgange af alle tredjeparts administrerede pakker og tilpassede komponenter – kombineret med Salesforce Shield Event Monitoring til at registrere afvigelser i dataadgangsmønstre – et kritisk lag af forsvar mod potentielle krydsnavneområdeudnyttelser.

Overvejelser i forbindelse med forretning og integration

De primære integrations- og forretningsovervejelser ved aktivering af Lightning Web Security (LWS) involverer udførelse af en omfattende revision af eksisterende Aura- og tredjepartskomponenter, da overgangen fra Lightning Locker kan kræve omstrukturering af JavaScript, der direkte manipulerer det globale vinduesobjekt eller bruger "use strict" på måder, der er i konflikt med de nye virtualiserings-sandboxes.

Anbefalet rettelse

Aktiver Lightning i sessionsindstillinger.

Vejledning til sikkerhedstilstandsgennemgang

Sikkerhedstilstandscheck undersøger indstillingerne for sessionssikkerhed for at bekræfte, at Lightning er i stand til at sikre web- og aura-komponenter.