Loading
Configurar e manter a sua organização do Salesforce
Índice
Filtrar por (0)Adicionar
Selecionar filtros

          Sem resultados
          Sem resultados
          Aqui estão algumas dicas de pesquisa

          Verifique a grafia das palavras-chave.
          Tente utilizar termos mais genéricos.
          Selecione menos filtros para ampliar sua pesquisa.

            Pesquisar em toda a Ajuda do Salesforce
            Pesquisar em toda a Ajuda do Salesforce
            Configurações de conexões seguras (HTTPS)

            Você está aqui:

            1. Ajuda do Salesforce
            2. Documentação
            3. Configurar e manter a sua organização do Salesforce

            Configurações de conexões seguras (HTTPS)

            Essa estrutura de controle de várias camadas reforça a integridade da sessão aplicando validação de IP contínua para cada solicitação e protegendo tokens de sessão contra acesso de script não autorizado por meio do atributo HTTPOnly.

            Nome do controle

            Configurações de conexões seguras (HTTPS)

            Configuração recomendada

            • Habilitar o Force Relogin após o login como usuário
            • Habilitar Exigir atributo HTTPOnly
            • Impor intervalos de IP de login em todas as solicitações
            • Habilitar Usar solicitação de publicação para enviar informações da sessão para sessões entre domínios

            Configuração>Configurações de sessão>Forçar o novo login após o login como usado |Exigir intervalos de IP de atributo HTTPOnly |login em cada solicitação |Usar solicitação de publicação para enviar informações da sessão para sessões entre domínios.

            Visão geral de controle

            Essa estrutura de controle de várias camadas reforça a integridade da sessão aplicando validação de IP contínua para cada solicitação e protegendo tokens de sessão contra acesso de script não autorizado por meio do atributo HTTPOnly. Além disso, ele impede o vazamento da sessão durante a navegação entre domínios usando solicitações POST e garante a responsabilidade administrativa exigindo um novo login imediatamente após qualquer sessão "Login-As".

            Risco de segurança, se não configurado

            Não ativar esses controles expõe sessões por meio de ataques de script entre sites (XSS) e vazamento de URL durante a navegação entre domínios, aumentando significativamente o risco de sequestro de sessão. Além disso, a organização enfrentará a persistência de acesso não autorizado se os usuários passarem para redes não confiáveis no meio da sessão ou se os administradores manterem sessões ativas depois de personificarem usuários sem reautenticação.

            Cenários de ameaça

            Um invasor explora uma vulnerabilidade de script entre sites (XSS) para roubar um cookie de sessão que não tem proteção HTTPOnly e, em seguida, mantém o acesso de uma rede não confiável sem problemas, pois o sistema não verifica novamente o endereço IP do usuário em cada solicitação. Enquanto isso, IDs de sessão confidenciais são vazados pelos registros do navegador durante a navegação entre domínios, e uma conta de administrador sequestrada permanece ativa e sem problemas muito depois que uma sessão "Login-As" termina.

            Intervalo de pontuação de CVSS estimado

            Crítico (9.0 a 10.0).

            Considerações sobre impacto de risco

            O número de usuários, vários perfis atribuídos aos usuários e dados ou objetos aos quais cada perfil tem acesso.

            Risco maior quando

            O risco de deixar essas configurações desabilitadas é significativamente aumentado pela ausência de uma política de segurança de conteúdo (CSP) robusta, que deixa o sistema vulnerável a scripts que podem facilmente raspar cookies de sessão se o atributo HTTPOnly estiver ausente.

            Baixo ou Sem risco quando

            Para mitigar os riscos quando essas configurações de segurança da sessão específicas não estiverem habilitadas, você pode implementar uma estratégia "Defesa em profundidade" usando estes controles compensatórios:

            • Autenticação multifator (MFA) obrigatória: Mesmo que um ID da sessão seja vazado por meio de um URL (POST ausente) ou roubado por meio de um script (HTTPOnly ausente), um invasor ainda será desafiado por um segundo fator se tentar realizar ações de alto risco ou restabelecer o acesso.
            • Tempo limite de sessão mais rígido: Se você não estiver forçando um novo login após uma sessão "Login-as", reduzir o tempo limite da sessão global (por exemplo, para 15 ou 30 minutos) limitará a janela de oportunidade para uma sessão sem supervisão ou sequestrada permanecer válida.
            • Intervalos de IP de login no nível do perfil: Embora "impor em cada solicitação" seja ideal, definir intervalos de IP rígidos no nível de Perfil ainda garante que a sessão inicial possa ser estabelecida apenas de uma rede confiável.
            • Política de segurança de conteúdo (CSP) robusta: Uma CSP bem configurada pode impedir a execução de scripts mal-intencionados, o que reduz significativamente o risco de não ter o atributo HTTPOnly em seus cookies.
            • Saneamento de entrada estrita e codificação de saída: Ao impedir o script entre sites (XSS) no nível de código (componentes do LWC/Aura), você remove o método principal que um invasor usaria para roubar tokens de sessão que não têm proteção HTTPOnly.

            Considerações de negócios e integração

            A implementação desses controles aumenta significativamente a segurança, mas os logins recorrentes frequentes após sessões de suporte podem interromper os usuários móveis se os endereços IP deles são alternados durante uma sessão.

            Remediação recomendada

            Implemente configurações de conexão segura na plataforma.

            Diretriz de revisão de saúde de segurança

            A Análise de integridade de segurança inspeciona se as configurações de conexão segura são aplicadas na organização para proteger as sessões.

            Consulte também:

             
            Carregando
            Salesforce Help | Article