Du är här:
Säker utloggningssida
Denna kontroll säkerställer att när en Salesforce-session löper ut i en webbläsarflik omdirigeras användaren automatiskt till en fördefinierad, säker URL.
Kontrollnamn
Säker utloggning
Rekommenderad konfiguration
- Utloggnings-URL - Ange utloggnings-URL
- Aktivera URL:en Lagra utloggning för omdirigering i din lokala webbläsare
Inställningar>Sessionsinställningar>Utloggnings-URL|Lagra utloggnings-URL för omdirigering i din lokala webbläsare.
Kontrollöversikt
Denna kontroll säkerställer att när en Salesforce-session löper ut i en webbläsarflik omdirigeras användaren automatiskt till en fördefinierad, säker URL—vanligtvis utloggningsslutpunkten för enkel inloggning (SSO)—snarare än standardinloggningssidan. Genom att tillämpa denna omdirigering säkerställer organisationen en global utloggning över hela identitetsekosystemet, vilket förhindrar obehöriga användare från att få åtkomst till miljön igen genom kvardröjande sessionstokens på identitetsleverantörsnivå.
Säkerhetsrisk om den inte är konfigurerad
Att inte aktivera omdirigering av utgångna flikar till en egen utloggnings-URL ökar risken för oauktoriserad sessionsbeständighet, eftersom användare dirigeras till Salesforces standardinloggningssida istället för identitetsleverantörens (IdP) utloggningsslutpunkt när en session löper ut. Detta kringgår den globala utloggningsprocessen, vilket potentiellt lämnar sessionen för enkel inloggning (SSO) aktiv på IdP-nivå och låter en efterföljande användare på samma enhet få åtkomst till miljön igen utan att behöva autentisera igen.
Hotscenarier
I en delad arbetsstation eller offentlig terminalmiljö kan en användare lämna sin Salesforce-session för att timeout, om sessionen är död. Eftersom den utgångna fliken inte utlöser en global utloggning hos identitetsleverantören (IdP) förblir den underliggande SSO-sessionen aktiv. En opportunistisk attackerare kan sedan bara klicka på inloggningsknappen för att omedelbart återautentiseras som den föregående användaren och få fullständig åtkomst till känsliga data utan att någonsin bli tillfrågad om inloggningsuppgifter.
Uppskattat CVSS-betygintervall
Kritisk (9,0-10,0).
Att tänka på vad gäller riskpåverkan
Beroende på antalet instanser i företaget.
Högre risk när
Risken för oauktoriserad sessionsåterställning förstärks avsevärt av alltför långa sessionstimeoutvaraktigheter, vilket utökar möjligheten för en attackerare att komma åt en obevakad arbetsstation innan sessionen löper ut.
Dessutom gör avsaknaden av tvångsåterautentisering på identitetsleverantörsnivå (IdP) att webbläsaren tyst kan återetablera en Salesforce-session med hjälp av en kvardröjande IdP-cookie, vilket kringgår behovet av en ny inloggning eller MFA-utmaning när användaren klickar på knappen "Logga in" på den utgångna fliken.
Låg eller ingen risk när
För att minimera risken för oauktoriserad sessionsåterställning bör organisationer implementera enkel utloggning (SLO), vilket säkerställer att utloggning ur Salesforce (eller en sessionstimeout) även effektivt avslutar sessionen på nivån Identitetsleverantör (IdP).
Att tillämpa korta tidsgränser för sessioner (t.ex. 15–30 minuter) och kräva flerfaktorsautentisering (MFA) för varje inloggningssession ger dessutom ett viktigt försvar på djupet, vilket säkerställer att även om en session förblir tekniskt aktiv krävs en andra faktor eller ny autentisering för att få åtkomst till känsliga data igen.
Att tänka på vad gäller affärer och integration
Saknas
Rekommenderad åtgärd
Omdirigera inloggning till din företagssida.
Vägledning för granskning av säkerhetshälsa
Inspektera säkerhetshälsogranskning för att säkerställa att organisationen är konfigurerad med fördefinierad utloggnings-URL för omdirigering i webbläsaren för att överensstämma med din företagspolicy.
