Loading
Sikre Salesforce-organisasjonen
Innhold
Filtrer etter (0)Legg til
Velg filtre

          Ingen resultater
          Ingen resultater
          Her er noen søketips

          Kontroller stavemåten i søkeordene.
          Bruk mer generelle søkebegreper.
          Velg færre filtre for å utvide søket.

            Søk i all Salesforce Hjelp
            Søk i all Salesforce Hjelp
            Sikkerhet: Aktivere rotasjonskontroll for oppdateringstoken

            Du er her:

            1. Salesforce Hjelp
            2. Dokumenter
            3. Sikre Salesforce-organisasjonen

            Sikkerhet: Aktivere rotasjonskontroll for oppdateringstoken

            Denne sikkerhetsinnstillingen gjør hvert oppdateringstoken ugyldig og erstatter det med et nytt token for engangsbruk når en klient bruker det til å hente et nytt tilgangstoken.

            Navn på kontroll

            Eksterne klientapper: Sikkerhet: Aktivere oppdateringstokenrotasjon

            Anbefalt konfigurasjon

            Aktiver Oppdater tokenrotasjon.

            Oversikt over kontroll

            Denne sikkerhetsinnstillingen gjør hvert oppdateringstoken ugyldig og erstatter det med et nytt token for engangsbruk når en klient bruker det til å hente et nytt tilgangstoken.

            Sikkerhetsrisiko hvis ikke konfigurert

            Uten rotasjon forblir et kompromittert oppdateringstoken gyldig på ubestemt tid eller til det utløper, slik at angriperen kan opprettholde vedvarende uautorisert tilgang til miljøet uten å måtte godkjenne på nytt.

            Trusselscenarier

            En angriper trekker ut et statisk oppdateringstoken fra en lokal enhet eller programlogg og bruker det til programmatisk å generere en kontinuerlig strøm av gyldige tilgangstokener, noe som effektivt etablerer en permanent bakdør til Salesforce-forekomsten.

            Beregnet CVSS Score-område

            Høyt (7.0–8,9).

            Viktige punkter om risikoinnvirkning

            Mislykket implementering av rotasjon letter langsiktig dataekspiltrering og uoppdaget kontoovertakelse fordi angriperen kan forbli pålogget selv om den legitime brukeren endrer passordet sitt eller fullfører en godkjenningsutfordring med flere faktorer.

            Høyere risiko når

            Risikoen er høyere for offentlige klienter som mobilprogrammer eller enkeltsideprogrammer som lagrer tokener i mindre sikre lokale miljøer, og for integrasjoner som har fått brede administrative tillatelser.

            Lav risiko når

            Hvis firmaet håndhever svært korte absolutte levetider for alle oppdateringstokener og bruker streng IP-adressefiltrering for å sikre at tokener bare brukes fra kjente, klarerte nettverk.

            Viktige punkter om virksomheten og integrasjonen

            Aktivering av rotasjon krever at klientprogrammet er i stand til å håndtere det oppdaterte oppdateringstokenet som returneres i hver utveksling, og vellykket beholde den nye verdien for å unngå synkroniseringsfeil.

            Anbefalt rettelse

            Gå til OAuth-innstillingene i den eksterne klientappen, og merk av i avmerkingsboksen for å slå på oppdateringstokenrotasjon.

            Veiledning for vurdering av sikkerhetstilstand

            Sikkerhetstilstandsvurdering identifiserer oppdateringstokenrotasjon som en obligatorisk, detaljert standard for øktbehandling, slik at vinduet for salgsmulighet for et stjålet bærertoken er begrenset til én enkelt transaksjon.

            Se også:

             
            Laster
            Salesforce Help | Article