您在此处:
通知设置:外部客户端应用程序的通知设置
该控件便于配置移动推送通知,以提醒用户特定的 Salesforce 事件。
控件名称
外部客户端应用程序:通知设置:外部客户端应用程序的通知设置:外部客户端应用程序的通知设置
推荐配置
配置外部客户端应用程序的通知设置 (Beta)。
控制概览
该控制便于配置移动推送通知,以便在用户不积极使用应用程序时提醒他们特定的 Salesforce 事件,例如批准请求或提及。
安全风险(如果未配置)
缺少定义的推送通知策略会增加敏感数据通过锁定设备屏幕上显示的明文负载或通过不安全的递送渠道拦截而泄露的可能性。
威胁场景
未经授权的个人可以直接从设备锁定屏幕查看敏感的交易详细信息、批准请求信息或用户提及,而无需对手机进行物理身份验证。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
无法保护通知内容会导致敏感信息的机密性被泄露,并可能导致身份盗窃、帐户接管或不遵守数据隐私条例。
高风险
当通知负载包含个人身份信息 (PII) 时,或者当应用程序在设备保持锁定状态时不屏蔽消息预览时,风险级别会增加。
低风险
如果应用程序仅发送要求用户在应用程序中进行身份验证以查看实际敏感内容的通用 ping,或者如果对负载应用端到端加密,则会降低风险。
业务和集成注意事项
建立这些策略需要后端通知服务器和移动操作系统 API 之间的协调,这可能会影响用户参与度量和重要提醒的及时性。
建议的补救措施
实施限制推送负载中敏感数据的策略,并将应用程序配置为对系统级锁定屏幕上显示的通知使用通用占位符。
安全健康审查指导
遵守安全消息传递原则,以便推送通知仅用作信号机制,而不是敏感数据或加密密码的主要传输。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
