Loading
Salesforce-organisaatiosi suojaaminen
Sisällysluettelo
Suodatusperuste (0)Lisää
Valitse suodattimet

          Ei tuloksia
          Ei tuloksia
          Tässä on joitain hakuvinkkejä

          Tarkista avainsanojesi oikeinkirjoitus.
          Käytä yleisempiä hakutermejä.
          Laajenna hakua valitsemalla vähemmän suodattimia.

            Hae koko Salesforce-ohjeesta
            Hae koko Salesforce-ohjeesta
            Suojattujen yhteyksien (HTTPS) asetusten hallinta

            Olet tässä:

            1. Salesforce-ohje
            2. Asiakirja
            3. Salesforce-organisaatiosi suojaaminen

            Suojattujen yhteyksien (HTTPS) asetusten hallinta

            Tämä monikerroksinen ohjauskehys parantaa istunnon eheyttä käyttämällä jatkuvaa IP-vahvistusta jokaiselle pyynnölle ja suojelemalla istuntovaltuuksia komentosarjojen valtuuttamattomasta käytöstä HTTPOnly-attribuutin kautta.

            Ohjaimen nimi

            Suojattujen yhteyksien (HTTPS) asetukset

            Suositeltu kokoonpano

            • Pakollisen uudelleenkirjautumisen ottaminen käyttöön sisäänkirjautumisen jälkeen käyttäjänä
            • Ota Vaadi HTTPOnly-attribuutti käyttöön
            • Sovella sisäänkirjautumisen IP-alueita kaikkiin pyyntöihin
            • Ota käyttöön Käytä viestipyyntöä lähettääksesi istuntotietoja toimialueiden välisille istunnoille

            Määritykset> Istuntoasetukset>Pakko uudelleenkirjautuminen sisäänkirjautumisen jälkeen käyttäessä |Vaadi HTTPOnly-attribuutti |kirjautumisen IP-alueet jokaiselle pyynnölle |Käytä viestipyyntöä lähettääksesi istuntotietoja toimialueiden välisille istunnoille.

            Ohjauksen yleiskatsaus

            Tämä monikerroksinen ohjauskehys parantaa istunnon eheyttä käyttämällä jatkuvaa IP-vahvistusta jokaiselle pyynnölle ja suojelemalla istuntovaltuuksia komentosarjojen valtuuttamattomasta käytöstä HTTPOnly-attribuutin kautta. Lisäksi se estää istunnon vuotoa toimialueiden välisen navigoinnin aikana käyttämällä POST-pyyntöjä ja varmistaa hallinnollisen vastuullisuuden vaatimalla uuden sisäänkirjautumisen välittömästi sisäänkirjautumistunnon jälkeen.

            Tietoturvariski, jos ei määritetty

            Jos näitä ohjaimia ei oteta käyttöön, istunnot paljastuvat Cross-Site Scripting (XSS) -hyökkäyksillä ja URL-vuodoilla toimialueiden välisen navigoinnin aikana, mikä kasvattaa istunnon kaappauksen riskiä merkittävästi. Lisäksi organisaatio on vastuussa valtuuttamattomien käyttöoikeuksien jatkuvuudesta, jos käyttäjät siirtyvät epäluotettuihin verkostoihin istunnon aikana tai jos pääkäyttäjät ylläpitävät aktiivisia istuntoja käyttäjien esittämisen jälkeen ilman uudelleen todennusta.

            Uhkien skenaariot

            Hyökkääjä hyödyntää cross-site scripting (XSS) -haavoittuvuutta varastaakseen istuntoevästeen, jolla ei ole HTTPOnly-suojausta, ja säilyttää sitten käyttöoikeudet saumattomalla verkostolla, koska järjestelmä ei voi vahvistaa käyttäjän IP-osoitetta uudelleen jokaisessa pyynnössä. Samaan aikaan luottamukselliset istuntotunnukset vuotavat selainlokeihin toimialueiden välisen navigoinnin aikana, ja kaapattu pääkäyttäjätili pysyy aktiivisena ja kyseenalaisena pitkään sisäänkirjautumistunnon jälkeen.

            Arvioitu CVSS-pistealue

            Kriittinen (9.0–10.0).

            Riskien vaikutuksissa huomioitavia asioita

            Käyttäjien määrä, käyttäjille kohdistetut eri profiilit sekä tiedot tai objektit, joiden käyttöoikeus kullakin profiililla on.

            Korkeampi riski, kun

            Näiden asetusten poistamisen käytöstä vaara lisääntyy merkittävästi, kun sisällön suojauskäytäntö (CSP) ei ole vahva, mikä tekee järjestelmästä haavoittuvaisen komentosarjoille, jotka voivat helposti kaappaa istuntoevästeet, jos HTTPOnly-attribuutti puuttuu.

            Matala riski tai ei riskiä, kun

            Voit vähentää riskejä, kun nämä tietyt istunnon suojausasetukset eivät ole käytössä, toteuttamalla ”Päivittäinen puolustus” -strategian käyttämällä näitä korvaavia asetuksia:

            • Pakollinen monimenetelmäinen todennus (MFA): Vaikka istuntotunnus vuotaisi URL-osoitteen kautta (puuttuva POST) tai varastettaisiin komentosarjan kautta (puuttuva HTTPOnly), hyökkääjä on edelleen haastava toiselle tekijälle, jos hän yrittää suorittaa riskialttiita toimintoja tai palauttaa käyttöoikeutensa.
            • Tiukemmat istunnon aikakatkaisut: Jos et pakottaa uudelleenkirjautumista sisäänkirjautumistunnon jälkeen, globaalin istunnon aikakatkaisun vähentäminen (esimerkiksi 15 tai 30 minuuttiin) rajoittaa valvomattoman tai kaapatun istunnon mahdollisuuksien ajanjaksoa pysymään voimassa.
            • Profiilitason sisäänkirjautumisen IP-alueet: Vaikka kaikkien pyyntöjen noudattaminen on ihanteellista, tiukkojen IP-osoitealueiden määrittäminen profiilitasolla varmistaa silti, että alustava istunto voidaan luoda vain luotetusta verkostosta.
            • Vahva sisällön suojauskäytäntö (CSP): Hyvin määritetty CSP voi estää pahantahtoisten komentosarjojen suorittamisen aluksi, mikä vähentää merkittävästi riskiä siitä, että evästeissäsi ei ole HTTPOnly-attribuuttia.
            • Tiukka syötteen sanitointi ja tulosten koodaus: Estät Cross-Site Scripting (XSS) -komentosarjan kooditasolla (LWC/Aura-komponentit) poistaaksesi ensisijaisen tavan, jolla hyökkääjä voi varastaa istuntotunnuksia, joilla ei ole HTTPOnly-suojausta.

            Liiketoiminnassa ja integraatiossa huomioitavia asioita

            Näiden asetusten käyttöönotto parantaa tietoturvaa merkittävästi, mutta usein uudelleenkirjautumiset tukistuntojen jälkeen voivat häiritä mobiilikäyttäjiä, jos heidän IP-osoitteensa kierrätetään istunnon aikana.

            Suositeltu korjaus

            Ota suojatut yhteysasetukset käyttöön alustalla.

            Tietoturvan terveystarkastuksen ohjeet

            Suojauksen terveystarkastus tarkastaa, noudatetaanko organisaatiossa Suojattu-yhteysasetuksia istuntojen suojaamiseksi.

            Katso myös:

             
            Ladataan
            Salesforce Help | Article