Contrôle de protection contre les URL de référent

Nom du contrôle

Protection des URL de référent

Configuration recommandée

• Stratégie de référent HTTP : sélectionnez "strict-origin-when-cross-origin"

Configuration>Paramètres de session>Protection des URL de référent>Inclure l'en-tête HTTP de la stratégie de référent>Stratégie de référent HTTP>Origine stricte-quand-origine croisée.

Vue d'ensemble du contrôle

Le contrôle Protection des URL de référent dans Salesforce (disponible sous Paramètres de session) active l'en-tête HTTP Referrer-Policy pour réguler la quantité d'informations sur les URL internes partagées avec des sites Web externes lorsqu'un utilisateur clique sur un lien ou charge une ressource. En sélectionnant une stratégie sécurisée telle que « origin-when-cross-origin », le navigateur est invité à fournir uniquement le nom de domaine Salesforce à des sites tiers, masquant ainsi les données confidentielles telles que les ID d'organisation, les ID d'enregistrement ou les paramètres de session contenus dans le chemin d'URL complet.

Risque de sécurité s'il n'est pas configuré

Le fait de ne pas activer la protection des URL de référent augmente le risque de fuite de métadonnées confidentielles, car le navigateur peut envoyer l'URL Salesforce complète (y compris les ID d'organisation, les ID d'enregistrement et les paramètres privés) à des serveurs Web externes dès qu'un lien sortant est cliqué ou qu'une ressource tierce est chargée. Cette exposition permet aux acteurs externes de consigner et d'analyser vos structures de données internes, qui peuvent être exploitées pour l'hameçonnage ciblé, l'ingénierie sociale ou le mappage de hiérarchies d'enregistrements internes protégées.

Scénarios de menace

Un employé clique sur un lien externe en consultant un enregistrement financier confidentiel, ce qui entraîne l'envoi par le navigateur de l'URL Salesforce complète (y compris l'ID d'enregistrement unique) aux journaux du serveur Web de destination. Un acteur des menaces qui surveille ces journaux utilise ces métadonnées pour identifier vos structures d'enregistrement internes et lancer une attaque ciblée par hameçonnage qui référence spécifiquement l'enregistrement privé auquel l'utilisateur vient d'accéder.

Plage de score CVSS estimée

Critique (9,0 à 10,0).

Considérations relatives à l'impact sur le risque

Le principal impact sur le risque est la fuite non autorisée d'identifiants internes de société et de métadonnées au niveau de l'enregistrement vers des entités externes.

Risque plus élevé quand

Le risque de fuite de métadonnées est considérablement amplifié par l'absence d'avertissement ou de stratégie de blocage de la redirection externe, qui permet aux utilisateurs d'accéder directement à des sites tiers non fiables sans aucune alerte indiquant que les informations de leur session sont partagées.

Risque faible ou nul

Pour limiter le risque de fuite de métadonnées lorsque la protection globale des URL de référent n'est pas totalement activée, les organisations peuvent implémenter des URL approuvées pour les redirections afin de bloquer ou d'avertir les utilisateurs avant qu'ils accèdent à des domaines externes non approuvés.

Considérations relatives à l'entreprise et à l'intégration

L'implémentation d'une protection stricte des URL de référent peut perturber les analytiques externes, les traceurs marketing ou les intégrations tierces héritées qui s'appuient sur l'analyse du chemin complet des URL Salesforce pour identifier des enregistrements spécifiques ou gérer le contexte pendant la navigation inter-domaines.

Remédiation recommandée

Activez la stratégie de référent HTTP avec une origine stricte lors de l'origine croisée.

Guide d'examen sanitaire de sécurité

Security Health Review inspecte les Paramètres de session de la stratégie de référent des paramètres de session à configurer avec Strict-Origin - When-Cross-Origin pour les aligner sur les meilleures pratiques de l'industrie.