Controllo delle impostazioni delle connessioni protette (HTTPS)

Nome controllo

Impostazioni delle connessioni protette (HTTPS)

Configurazione consigliata

• Abilitazione di Forza nuovo accesso dopo l'accesso come utente
• Abilita Richiedi attributo HTTPOnly
• Imponi intervalli IP di accesso su ogni richiesta
• Abilita Utilizza richiesta post per inviare informazioni sulla sessione per sessioni tra domini diversi

Imposta>Impostazioni di sessione>Forza nuovo accesso dopo l'accesso come utilizzo|Richiedi attributo HTTPOnly|Intervalli IP di accesso su ogni richiesta|Utilizza Richiesta post per inviare informazioni sulla sessione per le sessioni tra domini diversi.

Panoramica sul controllo

Questo framework di controllo a più livelli rafforza l'integrità della sessione imponendo una convalida IP continua per ogni richiesta e proteggendo i token di sessione dall'accesso non autorizzato agli script tramite l'attributo HTTPOnly. Inoltre, evita fughe di sessioni durante la navigazione tra domini utilizzando le richieste POST e garantisce la responsabilità amministrativa richiedendo un nuovo accesso immediatamente dopo qualsiasi sessione "Login-As".

Rischio per la sicurezza se non configurato

La mancata attivazione di questi controlli espone le sessioni tramite attacchi XSS (Cross-Site Scripting) e fughe di URL durante la navigazione tra domini diversi, aumentando in modo significativo il rischio di attacchi hijack della sessione. Inoltre, l'organizzazione deve far fronte alla persistenza dell'accesso non autorizzato se gli utenti passano a reti non affidabili a metà sessione o se gli amministratori mantengono sessioni attive dopo aver impersonato gli utenti senza eseguire nuovamente l'autenticazione.

Scenari di minaccia

Un aggressore sfrutta una vulnerabilità di cross-site scripting (XSS) per rubare un cookie di sessione privo di protezione HTTPOnly, quindi mantiene l'accesso da una rete non affidabile perché il sistema non riesce a verificare nuovamente l'indirizzo IP dell'utente su ogni richiesta. Nel frattempo, gli ID sessione sensibili vengono trasmessi attraverso i registri del browser durante la navigazione tra domini diversi e un account amministratore dirottato rimane attivo e incontrastato a lungo dopo la conclusione di una sessione "Login-As".

Intervallo di punteggi CVSS stimato

Critico (9.0–10.0).

Considerazioni sull'impatto del rischio

Il numero di utenti, i vari profili assegnati agli utenti e i dati o gli oggetti a cui ogni profilo ha accesso.

Rischio maggiore quando

Il rischio di lasciare disabilitate queste impostazioni è significativamente aumentato dalla mancanza di una Content Security Policy (CSP) efficace, che rende il sistema vulnerabile agli script che possono facilmente raschiare i cookie di sessione se l'attributo HTTPOnly manca.

Rischio basso o nullo quando

Per ridurre i rischi quando queste impostazioni di sicurezza specifiche della sessione non sono abilitate, è possibile implementare una strategia "Difesa in profondità" utilizzando questi controlli compensativi:

• Autenticazione a più fattori obbligatoria (MFA): Anche se un ID sessione viene divulgato tramite un URL (POST mancante) o rubato tramite uno script (HTTPOnly mancante), un aggressore verrà comunque messo alla prova per un secondo fattore se tenta di eseguire azioni ad alto rischio o ristabilire l'accesso.
• Timeout sessione più rigorosi: Se non si forza un nuovo accesso dopo una sessione "Login-As", la riduzione del timeout della sessione globale (ad esempio, a 15 o 30 minuti) limita la finestra di opportunità per la permanenza di una sessione non presidiata o dirottata.
• Intervalli IP di accesso a livello di profilo: Benché l'opzione "Imponi su ogni richiesta" sia l'ideale, l'impostazione di intervalli IP rigorosi a livello di profilo assicura comunque che la sessione iniziale possa essere stabilita solo da una rete affidabile.
• Policy per la sicurezza dei contenuti (CSP) robusta: Una CSP ben configurata può impedire l'esecuzione di script dannosi, riducendo in modo significativo il pericolo di non avere l'attributo HTTPOnly sui cookie.
• Sanificazione rigorosa degli input e codifica degli output: Impedendo il Cross-Site Scripting (XSS) a livello di codice (componenti LWC/Aura), si rimuove il metodo principale utilizzato da un aggressore per rubare i token di sessione privi di protezione HTTPOnly.

Considerazioni su Business e integrazione

L'implementazione di questi controlli aumenta in modo significativo la sicurezza, ma i frequenti accessi successivi alle sessioni di assistenza possono interrompere gli utenti mobili se i loro indirizzi IP ruotano durante una sessione.

Rimedio consigliato

Implementare le impostazioni di connessione protetta nella piattaforma.

Guida all'esame dello stato della sicurezza

Controllo dello stato della sicurezza verifica se le impostazioni di connessione protetta vengono applicate nell'organizzazione per proteggere le sessioni.