Olet tässä:
Lightning hallinta
Lightning Web Security (LWS) -sovelluksen käyttöönotto on tietoturvan hallinta, joka korvaa vanhan Lightning Locker -arkkitehtuurin Lightning modernilla ja virtuaaliin perustuvalla sandboxilla.
Ohjaimen nimi
Lightning
Suositeltu kokoonpano
- Lightning Web Security for Lightning -verkkokomponenttien ja Aura-komponenttien käyttäminen
Määritykset>Lightning käyttäminen Lightning ja Aura-komponenteille.
Ohjauksen yleiskatsaus
Lightning Web Security (LWS) -sovelluksen käyttöönotto on tietoturvan hallinta, joka korvaa vanhan Lightning Locker -arkkitehtuurin Lightning modernilla ja virtuaaliin perustuvalla sandboxilla. Se eristää komponentit eri nimitiloista omissa JavaScript-sandboxeissaan ja käyttää "häiriöitä" muokatakseen mahdollisesti epäsuojaisia API-rajapintoja dynaamisesti, estääkseen haitallista koodia häiritsemästä muita komponentteja tai käyttämästä valtuuttamattomia tietoja ja ylläpitääkseen korkeaa suorituskykyä.
Tietoturvariski, jos ei määritetty
Jos et ota Lightning Web Security (LWS) -sovellusta käyttöön, riski kasvaa, että nimitilojen välinen data vuotaa ja DOM-pohjaiset hyökkäykset tapahtuvat, koska eri lähteistä saaduilla komponenteilla ei välttämättä ole vahvaa virtuaalisuutta, jotta ne eivät pääse käsiksi toistensa yksityisiin tietoihin.
Uhkien skenaariot
Käyttäjä asentaa tahattomasti pahantahtoisen tai vaarantuneen kolmannen osapuolen Lightning, joka voi ohittaa nimitilan rajat käyttääkseen globaalia JavaScript-ympäristöä ja muiden komponenttien DOM-ohjelmaa, jos Lightning Web Security ei ole virtuaalinen. Tämä sallii pahantahtoisen komponentin hiljaa poimia luottamuksellisia tietuedataa tai siepata käyttäjien syöttämiä tietoja samalla sivulla olevista laillisista Salesforce-komponenteista ja suodattaa tiedot ulkoiselle palvelimelle, jota hyökkääjä hallitsee.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Riski kasvaa, kun Suojatun kehityksen elinkaari ei arvioi sovellusalustalla käyttöönotettuja komponentteja.
Korkeampi riski, kun
CSP:n puute estääkseen valtuuttamattoman datan suodattamisen ja rajoittaakseen luottamattomien ulkoisten komentosarjojen suorittamista.
Matala riski tai ei riskiä, kun
Organisaatioiden tulisi noudattaa tarkasti tarkennettua sisällön suojauskäytäntöä estääkseen luvattoman datan suodattamisen ja rajoittaakseen luottamattomien ulkoisten komentosarjojen suorittamisen minimoidakseen riskin, kun Lightning Web Security (LWS) ei ole vielä käytössä.
Lisäksi kaikkien kolmansien osapuolten hallittujen pakettien ja mukautettujen komponenttien tarkkojen tietoturvatarkistusten suorittaminen — yhdistettynä Salesforce Shield Event Monitoring -ominaisuuteen poikkeavien datan käyttöoikeuskuvioiden havaitsemiseksi — tarjoaa kriittisen suojakerroksen nimitilojen välisiä hyökkäyksiä vastaan.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Lightning Web Security (LWS) -sovelluksen käyttöönoton ensisijainen integraatio- ja liiketoimintakäyttötarkoitus on suorittaa kattava auditointi olemassa oleville Aura- ja kolmansien osapuolten komponenteille, koska siirtyminen Lightning Lockerista saattaa vaatia JavaScriptin refaktorointia, joka manipuloi suoraan globaalia ikkunaobjektia tai käyttää ”use strict”-ominaisuutta tavalla, joka on ristiriidassa uusien virtualisointi-sandboxien kanssa.
Suositeltu korjaus
Ota Lightning Web -suojaus käyttöön istuntoasetuksista.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus tarkastaa istunnon suojausasetukset varmistaakseen, että Lightning Web -suojaus on käytössä verkkokomponenttien ja aura-komponenttien suojaamiseksi.
