U bent hier:
Lightning webbeveiliging
Lightning Web Security (LWS) inschakelen is een beveiligingsbesturingselement dat de verouderde Lightning Locker architectuur vervangt door een moderne, op virtualisatie gebaseerde sandbox voor Lightning componenten.
Controlenaam
Lightning webbeveiliging
Aanbevolen configuratie
- Lightning Web Security gebruiken voor Lightning webcomponenten en Aura-componenten
Set-up>Sessie-instellingen>Gebruik Lightning Web Security voor Lightning webcomponenten en Aura-componenten.
Overzicht van besturingselementen
Lightning Web Security (LWS) inschakelen is een beveiligingsbesturingselement dat de verouderde Lightning Locker architectuur vervangt door een moderne, op virtualisatie gebaseerde sandbox voor Lightning componenten. Het isoleert componenten van verschillende naamruimten binnen hun eigen JavaScript-sandboxen en gebruikt "vervormingen" om potentieel onveilige API's dynamisch te wijzigen, waardoor wordt voorkomen dat kwaadwillende code andere componenten verstoort of toegang krijgt tot ongeoorloofde gegevens terwijl de prestaties hoog blijven.
Beveiligingsrisico indien niet geconfigureerd
Als Lightning Web Security (LWS) niet wordt ingeschakeld, neemt het risico op exfiltratie van gegevens over meerdere naamruimten en op DOM gebaseerde aanvallen toe, aangezien componenten uit verschillende bronnen mogelijk niet de robuuste virtualisatie hebben die nodig is om te voorkomen dat ze toegang hebben tot elkaars privégegevens.
Dreigingsscenario's
Een gebruiker installeert onbewust een kwaadwillende of gecompromitteerde Lightning component van derden die, bij afwezigheid van Lightning Web Security, naamruimtegrenzen kan omzeilen om toegang te krijgen tot de globale JavaScript-omgeving en het DOM van andere componenten. Hierdoor kan de malafide component in stilte gevoelige recordgegevens schrapen of gebruikersinvoer vastleggen vanuit legitieme Salesforce-componenten op dezelfde pagina en de informatie exfiltreren naar een door een externe aanvaller bestuurde server.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
Het risico neemt toe als er geen levenscyclus voor veilige ontwikkeling is die de componenten beoordeelt die op het platform zijn geïmplementeerd.
Hoger risico wanneer
Gebrek aan CSP om ongeoorloofde gegevensexfiltratie te blokkeren en de uitvoering van niet-vertrouwde externe scripts te beperken.
Laag of geen risico wanneer
Om het risico te minimaliseren wanneer Lightning Web Security (LWS) nog niet is ingeschakeld, moeten organisaties strikt een Refined Content Security Policy (CSP) toepassen om ongeoorloofde gegevensexfiltratie te blokkeren en de uitvoering van niet-vertrouwde externe scripts te beperken.
Daarnaast biedt het uitvoeren van Rigoureuze beveiligingsbeoordelingen van alle beheerde pakketten en aangepaste componenten van derden, in combinatie met Salesforce Shield Event Monitoring om abnormale toegangspatronen voor gegevens te detecteren, een kritieke verdedigingslaag tegen potentiële exploits van kruisnaamruimten.
Overwegingen bij bedrijf en integratie
De primaire integratie- en bedrijfsoverwegingen bij het inschakelen van Lightning Web Security (LWS) omvatten het uitvoeren van een uitgebreide controle van bestaande Aura- en externe componenten, aangezien de overstap van Lightning Locker mogelijk vereist dat JavaScript wordt aangepast dat het globale vensterobject rechtstreeks manipuleert of "strikt gebruiken" gebruikt op manieren die conflicteren met de nieuwe virtualisatiesandboxen.
Aanbevolen oplossing
Schakel Lightning Web Security in Sessie-instellingen in.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand inspecteert de sessiebeveiligingsinstellingen om te controleren of Lightning Web Security is geïmplementeerd om web- en aura-componenten te beveiligen.
