Lightning

Navn på kontroll

Lightning

Anbefalt konfigurasjon

• Bruke Lightning for Lightning og Aura-komponenter

Oppsett>Øktinnstillinger>Bruk Lightning for Lightning og Aura-komponenter.

Oversikt over kontroll

Aktivering av Lightning (LWS) er en sikkerhetskontroll som erstatter den tidligere Lightning Locker med en moderne, virtualiseringsbasert Sandbox-enhet for Lightning. Den isolerer komponenter fra forskjellige navneområder i sine egne JavaScript-Sandbox-organisasjoner og bruker "forvrengninger" til dynamisk å endre potensielt usikre API-er, og hindrer skadelig kode i å forstyrre andre komponenter eller få tilgang til uautoriserte data samtidig som den opprettholder høy ytelse.

Sikkerhetsrisiko hvis ikke konfigurert

Hvis du ikke aktiverer Lightning Web Security (LWS), øker risikoen for utfiltrering av data på tvers av navneområder og DOM-baserte angrep, fordi komponenter fra forskjellige kilder kan mangle den robuste virtualiseringen som er nødvendig for å hindre at de får tilgang til hverandres private data.

Trusselscenarier

En bruker installerer uvitende en skadelig eller kompromittert tredjeparts Lightning som, i fravær av Lightning Web Security-virtualisering, kan omgå navneområdegrenser for å få tilgang til det globale JavaScript-miljøet og domenenavnet for andre komponenter. Dette tillater den falske komponenten å stille skrape sensitive postdata eller fange opp brukerinndata fra legitime Salesforce-komponenter på samme side og eksfiltrere informasjonen til en ekstern angriperkontrollert server.

Beregnet CVSS Score-område

Kritisk (9.0–10.0).

Viktige punkter om risikoinnvirkning

Risikoen øker med mangel på sikker utviklingslivssyklus som vurderer komponentene som er distribuert på plattformen.

Høyere risiko når

Mangel på CSP for å blokkere uautorisert dataekspiltrering og begrense utføring av ikke-klarerte eksterne skript.

Lav eller ingen risiko når

For å redusere risikoen når Lightning Web Security (LWS) ennå ikke er aktivert, bør organisasjoner strengt håndheve en sikkerhetspolicy for forbedret innhold (CSP) for å blokkere uautorisert dataekspiltrering og begrense utføringen av eksterne skript som ikke er klarert.

I tillegg gir utførelse av omfattende sikkerhetsvurderinger av alle tredjeparts administrerte pakker og tilpassede komponenter – kombinert med Salesforce Shield Hendelsesovervåking for å oppdage unormale datatilgangsmønstre – et kritisk lag av forsvar mot potensielle utnyttelser av flere navneområder.

Viktige punkter om virksomheten og integrasjonen

Når du aktiverer Lightning Web Security (LWS), må du utføre en omfattende revisjon av eksisterende Aura- og tredjepartskomponenter, da overgangen fra Lightning Locker kan kreve refaktorering av JavaScript som direkte manipulerer det globale vindusobjektet eller bruker "use strict" på måter som er i konflikt med de nye Sandbox-organisasjonene for virtualisering.

Anbefalt rettelse

Aktiver Lightning i Øktinnstillinger.

Veiledning for vurdering av sikkerhetstilstand

Sikkerhetstilstandsvurdering undersøker innstillingene for øktsikkerhet for å kontrollere at Lightning Web Security er på plass for å sikre nett- og aura-komponenter.