Loading
Безопасность организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Управление параметрами безопасных подключений (HTTPS)

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Безопасность организации Salesforce

            Управление параметрами безопасных подключений (HTTPS)

            Эта многоуровневая инфраструктура управления повышает целостность сеанса, внедряя непрерывную проверку IP-адресов для каждого запроса и защищая маркеры сеанса от несанкционированного доступа к сценарию посредством атрибута HTTPOnly.

            Управление именем

            Параметры безопасных подключений (HTTPS)

            Рекомендованная конфигурация

            • Включение принудительного входа после входа от имени пользователя
            • Включить «Требовать атрибут HTTPOnly»
            • Применять диапазоны IP-адресов входа при каждом запросе
            • Включите «Использовать запрос сообщения для отправки сведений о сеансе для междоменных сеансов»

            Настройка>Параметры сеанса>Принудительный вход после входа по мере использования|Требовать атрибут HTTPOnly|диапазоны IP-адресов входа при каждом запросе|Использовать запрос на публикацию для отправки сведений о сеансе для междоменных сеансов.

            Общие сведения о контроле

            Эта многоуровневая инфраструктура управления повышает целостность сеанса, внедряя непрерывную проверку IP-адресов для каждого запроса и защищая маркеры сеанса от несанкционированного доступа к сценарию посредством атрибута HTTPOnly. Кроме того, он предотвращает утечку сеанса во время междоменной навигации посредством запросов POST и обеспечивает административную подотчетность, требуя нового входа сразу после любого сеанса «От имени входа».

            Риск безопасности, если он не настроен

            Если эти элементы управления не включены, сеансы становятся доступны посредством атак межсайтового скриптинга (XSS) и утечки URL-адресов во время междоменной навигации, что значительно повышает риск перехвата сеанса. Кроме того, организация сталкивается с проблемой несанкционированного доступа, если пользователи переходят на ненадежные сети в середине сеанса или если администраторы ведут активные сеансы после того, как выдают себя за пользователей без повторной проверки подлинности.

            Сценарии угроз

            Злоумышленник использует уязвимость межсайтового скриптинга (XSS) для кражи cookie-файла сеанса, не имеющего защиты HTTPOnly, а потом без труда сохраняет доступ из ненадежной сети, поскольку система не может повторно проверить IP-адрес пользователя при каждом запросе. Тем временем, конфиденциальные коды сеансов утекают через журналы обозревателя во время междоменной навигации, а перехваченная организация администратора остается активной и беспрепятственной долгое время после завершения сеанса «Вход как».

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Количество пользователей, разные профили, назначенные пользователям, и данные или объекты, к которым у каждого профиля есть доступ.

            Повышенный риск при

            Риск отключения этих параметров значительно возрастает из-за отсутствия надежной политики безопасности содержимого (CSP), что делает систему уязвимой для сценариев, которые могут легко соскребать cookie-файлы сеанса при отсутствии атрибута HTTPOnly.

            Низкий или нулевой риск при

            Чтобы уменьшить риски, когда эти определенные параметры безопасности сеанса не включены, можно внедрить стратегию «Углубленная защита» посредством следующих элементов компенсационного управления:

            • Обязательная многофакторная проверка подлинности (MFA): Даже если код сеанса утек по URL-адресу (отсутствует POST) или украден посредством сценария (отсутствует HTTPOnly), взломщику придется столкнуться со вторым фактором, если он попытается выполнить действия высокого риска или восстановить доступ.
            • Более строгое время ожидания сеанса: Если вы не принуждаете к повторному входу после сеанса «Вход как», сокращение глобального времени ожидания сеанса (например, до 15 или 30 минут) ограничивает окно возможности для непросмотренного или перехваченного сеанса.
            • Диапазоны IP-адресов входа на уровне профиля: Хотя «применять по каждому запросу» идеально, установка строгих диапазонов IP-адресов на уровне профиля гарантирует, что начальный сеанс может быть установлен только из надежной сети.
            • Надежная политика безопасности содержимого (CSP): Хорошо настроенный CSP может предотвратить выполнение вредоносных сценариев, что значительно уменьшает опасность отсутствия атрибута HTTPOnly в cookie-файлах.
            • Строгая санитария ввода и кодировка вывода: Предотвращая межсайтовый сценарий (XSS) на уровне кода (компоненты LWC/Aura), вы удаляете основной метод, используемый взломщиком для кражи маркеров сеанса, не имеющих защиты HTTPOnly.

            Рекомендации по бизнесу и интеграции

            Внедрение этих элементов управления значительно повышает безопасность, но частые повторные входы после сеансов поддержки могут нарушить работу мобильных пользователей, если их IP-адреса меняются во время сеанса.

            Рекомендованное исправление

            Внедрите параметры безопасного подключения на платформу.

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности проверяет, применяются ли параметры безопасного подключения в организации для обеспечения безопасности сеансов.

            См. также:

             
            Загрузка
            Salesforce Help | Article