Loading
Konfigurere og vedlikeholde Salesforce-organisasjonen
Innhold
Filtrer etter (0)Legg til
Velg filtre

          Ingen resultater
          Ingen resultater
          Her er noen søketips

          Kontroller stavemåten i søkeordene.
          Bruk mer generelle søkebegreper.
          Velg færre filtre for å utvide søket.

            Søk i all Salesforce Hjelp
            Søk i all Salesforce Hjelp
            Innstillinger for sikre tilkoblinger (HTTPS)

            Du er her:

            1. Salesforce Hjelp
            2. Dokumenter
            3. Konfigurere og vedlikeholde Salesforce-organisasjonen

            Innstillinger for sikre tilkoblinger (HTTPS)

            Dette flerlagede kontrollrammeverket styrker øktintegriteten ved å håndheve kontinuerlig IP-validering for hver forespørsel og beskytte økttokener mot uautorisert skripttilgang via HTTPOnly-attributtet.

            Navn på kontroll

            Innstillinger for sikre tilkoblinger (HTTPS)

            Anbefalt konfigurasjon

            • Aktivere Håndhev pålogging etter pålogging som bruker
            • Aktiver Krev HTTPOnly-attributt
            • Håndhev IP-områder for pålogging for hver eneste forespørsel
            • Aktiver Bruke innleggsforespørsel til å sende øktinformasjon for økter på tvers av domener

            Oppsett>Øktinnstillinger>Håndhev ny pålogging etter pålogging som bruk |Kreve HTTPOnly-attributt |pålogging IP-områder for hver forespørsel |Bruk innleggsforespørsel for å sende øktinformasjon for økter på tvers av domener.

            Oversikt over kontroll

            Dette flerlagede kontrollrammeverket styrker øktintegriteten ved å håndheve kontinuerlig IP-validering for hver forespørsel og beskytte økttokener mot uautorisert skripttilgang via HTTPOnly-attributtet. Videre hindrer den øktlekkasje under navigering på tvers av domener ved å bruke POST-forespørsler og sikrer administrativ ansvarlighet ved å kreve en ny pålogging umiddelbart etter en Påloggings-som-økt.

            Sikkerhetsrisiko hvis ikke konfigurert

            Mislykket aktivering av disse kontrollene viser økter via XSS-angrep og URL-lekkasje under navigering på tvers av domener, noe som betydelig øker risikoen for øktkapring. Dessuten står organisasjonen overfor vedvarende uautorisert tilgang hvis brukere flytter til ikke-klarerte nettverk midt i økten, eller hvis administratorer vedlikeholder aktive økter etter å ha fremstilt brukere som brukere uten godkjenning på nytt.

            Trusselscenarier

            En angriper utnytter en sårbarhet for skripting på tvers av nettsteder (XSS) for å stjele en øktinformasjonskapsel som mangler HTTPOnly-beskyttelse, og beholder deretter sømløst tilgang fra et ikke-klarert nettverk fordi systemet ikke kan bekrefte brukerens IP-adresse på nytt ved hver forespørsel. I mellomtiden blir sensitive økt-ID-er lekket gjennom nettleserlogger under navigering på tvers av domener, og en kapret administratorkonto forblir aktiv og utfordret lenge etter at en påloggingsøkt har blitt avsluttet.

            Beregnet CVSS Score-område

            Kritisk (9.0–10.0).

            Viktige punkter om risikoinnvirkning

            Antall brukere, forskjellige profiler tildelt til brukerne og data eller objekter som hver profil har tilgang til.

            Høyere risiko når

            Risikoen for å la disse innstillingene være deaktivert øker betydelig på grunn av mangel på en robust innholdssikkerhetspolicy (CSP), som gjør systemet sårbart for skript som enkelt kan skrape øktinformasjonskapsler hvis HTTPOnly-attributtet mangler.

            Lav eller ingen risiko når

            For å redusere risikoen når disse spesifikke øktsikkerhetsinnstillingene ikke er aktivert, kan du implementere en Deep Defense-strategi med disse kompensasjonskontrollene:

            • Obligatorisk godkjenning med flere faktorer (MFA): Selv om en økt-ID blir lekket via en URL-adresse (manglende POST) eller stjålet via et skript (manglende HTTPOnly), vil en angriper fremdeles bli utfordret for en andre faktor hvis vedkommende forsøker å utføre handlinger med høy risiko eller gjenopprette tilgang.
            • Strengere tidsavbrudd for økter: Hvis du ikke tvinger en ny pålogging etter en Pålogging som-økt, begrenser reduksjon av den globale tidsavbruddet (for eksempel til 15 eller 30 minutter) vinduet for salgsmuligheter for en økt som ikke er overvåket eller kapret, til å forbli gyldig.
            • IP-områder for pålogging på profilnivå: "Håndhev på alle forespørsler" er ideelt, men å angi strenge IP-adresseområder på Profil-nivå sikrer likevel at den første økten bare kan etableres fra et klarert nettverk.
            • Robust innholdssikkerhetspolicy (CSP): En godt konfigurert CSP kan hindre at skadelige skript utføres i utgangspunktet, noe som reduserer risikoen for at du ikke har HTTPOnly-attributtet i informasjonskapslene.
            • Streng inndatanalyse og utdatakoding: Ved å hindre skripting på tvers av nettsteder (XSS) på kodenivå (LWC/Aura-komponenter) fjerner du den primære metoden en angriper ville bruke til å stjele økttokener som mangler HTTPOnly-beskyttelse.

            Viktige punkter om virksomheten og integrasjonen

            Implementering av disse kontrollene øker sikkerheten betydelig, men hyppige pålogginger på nytt etter kundestøttessessioner kan forstyrre mobilbrugere, hvis deres IP-adresser roteres under en session.

            Anbefalt rettelse

            Implementer sikker tilkoblingsinnstillinger på plattformen.

            Veiledning for vurdering av sikkerhetstilstand

            Sikkerhetstilstandsvurdering undersøker om innstillingene for sikker tilkobling håndheves i organisasjonen for å sikre øktene.

            Se også:

             
            Laster
            Salesforce Help | Article