Loading
Gør din Salesforce-organisation sikker
Indhold
Filtrer efter (0)Tilføj
Vælg filtre

          Ingen resultater
          Ingen resultater
          Her er nogle søgetips

          Kontroller stavemåden for dine søgeord.
          Brug mere generelle søgeudtryk.
          Vælg færre filtre for at gøre søgningen bredere.

            Søg efter alle i Hjælp til Salesforce
            Søg efter alle i Hjælp til Salesforce
            HTTPS-indstillingskontrol (Secure Connections)

            breadcrumbDescription

            1. helpHomeLinkText
            2. docsHomeLinkTextShort
            3. Gør din Salesforce-organisation sikker

            HTTPS-indstillingskontrol (Secure Connections)

            Denne styrker sessionsintegriteten ved at håndhæve kontinuerlig IP-validering for hver anmodning og beskytte sessionstokener mod uautoriseret scriptadgang via HTTPOnly-attributten.

            Kontrolnavn

            Indstillinger for sikre forbindelser (HTTPS)

            Anbefalet konfiguration

            • Aktiver Gennemtving login efter login-som-bruger
            • Aktiver Kræv HTTPOnly-attribut
            • Håndhæv login-IP-områder for hver anmodning
            • Aktiver Brug indlægsanmodning til at sende sessionsoplysninger for krydsdomænesessioner

            Opsætning>Sessionsindstillinger>Gennemtving login igen efter login-som-brug |Kræv HTTPOnly-attribut |login IP-områder på hver anmodning |Brug indlægsanmodning til at sende sessionsoplysninger for krydsdomænesessioner.

            Kontroller oversigt

            Denne styrker sessionsintegriteten ved at håndhæve kontinuerlig IP-validering for hver anmodning og beskytte sessionstokener mod uautoriseret scriptadgang via HTTPOnly-attributten. Desuden forhindrer det sessionslækager under krydsdomænenavigation ved at bruge POST-anmodninger og sikrer administrativ ansvarlighed ved at kræve et nyt login umiddelbart efter enhver "Login-As"-session.

            Sikkerhedsrisiko, hvis den ikke er konfigureret

            Hvis du ikke aktiverer disse kontroller, vises sessioner via XSS-angreb (Cross-Site Scripting) og URL-lækage under krydsdomænenavigation, hvilket øger risikoen for sessionsovertagelse betydeligt. Desuden oplever organisationen vedvarende uautoriseret adgang, hvis brugere flytter til netværk, der ikke er tillid til, midt i sessionen, eller hvis administratorer vedligeholder aktive sessioner efter at have gengivet brugere uden godkendelse igen.

            Trusselscenarier

            En angriber udnytter en XSS-sårbarhed (cross-site scripting) til at stjæle en sessionscookie, der mangler HTTPOnly-beskyttelse, og bevarer derefter uden problemer adgang fra et usikret netværk, da systemet ikke kan bekræfte brugerens IP-adresse igen på hver anmodning. I mellemtiden lækkes følsomme sessions-id'er gennem browserlogfiler under krydsdomænenavigation, og en overtaget administratorkonto forbliver aktiv og ubesværet længe efter en "Login-As"-session er afsluttet.

            Estimeret CVSS-scoringsinterval

            Kritisk (9,0-10,0).

            Overvejelser i forbindelse med risikopåvirkning

            Antallet af brugere, forskellige profiler, der er tildelt til brugerne og data eller objekter, som hver profil har adgang til.

            Højere risiko når

            Risikoen for at lade disse indstillinger være inaktiveret øges markant af manglen på en robust indholdssikkerhedspolitik (CSP), som efterlader systemet sårbart over for scripts, der nemt kan scrape sessionscookies, hvis attributten HTTPOnly mangler.

            Lav eller ingen risiko når

            Hvis du vil reducere risiciene, når disse specifikke sessionssikkerhedsindstillinger ikke er aktiveret, kan du implementere en "Defense-in-depth"-strategi ved brug af disse kompenserende kontroller:

            • Obligatorisk godkendelse med flere faktorer (MFA): Selv hvis et sessions-id lækkes via en URL (manglende POST) eller stjæles via et script (manglende HTTPOnly), vil en angriber stadig blive udfordret på en anden faktor, hvis vedkommende forsøger at udføre handlinger med høj risiko eller genoprette adgang.
            • Strengere sessionstimeouts: Hvis du ikke tvinger en omlogin efter en "Login-As"-session, vil reduktion af den globale sessionstimeout (f.eks. til 15 eller 30 minutter) begrænse vinduet med salgsmuligheder for en ikke-overvåget eller overtaget session til at forblive gyldig.
            • IP-loginområder på profilniveau: Selvom "håndhæv på hver anmodning" er ideelt, sikrer indstilling af strenge IP-områder på profilniveau stadig, at den indledende session kun kan etableres fra et betroet netværk.
            • Robust indholdssikkerhedspolitik (CSP): En korrekt konfigureret CSP kan forhindre eksekvering af ondsindede scripts, hvilket reducerer faren for ikke at have HTTPOnly-attributten på dine cookies.
            • Streng inputanisering og outputkodning: Ved at forhindre Cross-Site Scripting (XSS) på kodeniveau (LWC/Aura-komponenter) fjerner du den primære metode, som en angriber ville bruge til at stjæle sessionstokener, der mangler HTTPOnly-beskyttelse.

            Overvejelser i forbindelse med forretning og integration

            Implementering af disse kontroller øger sikkerheden væsentligt, men hyppige genlogins efter supportsessioner kan afbryde mobilbrugere, hvis deres IP-adresser roterer under en session.

            Anbefalet rettelse

            Implementer sikre forbindelsesindstillinger på platformen.

            Vejledning til sikkerhedstilstandsgennemgang

            Sikkerhedstilstandscheck undersøger, om indstillingerne for sikker forbindelse håndhæves i organisationen for at sikre sessionerne.

            Related information html

             
            Indlæser
            Salesforce Help | Article