Loading
Impostazione e gestione dell'organizzazione Salesforce
Sommario
Filtra per (0)Aggiungi
Seleziona filtri

          Nessun risultato
          Nessun risultato
          Ecco alcuni suggerimenti per la ricerca

          Controlla l'ortografia delle parole chiave.
          Usa termini di ricerca più generici.
          Seleziona meno filtri per ampliare la tua ricerca.

            Cerca in tutta la Guida di Salesforce
            Cerca in tutta la Guida di Salesforce
            Sicurezza: Richiedi segreto per il flusso del token di aggiornamento

            Ti trovi qui:

            1. Guida di Salesforce
            2. Documenti
            3. Impostazione e gestione dell'organizzazione Salesforce

            Sicurezza: Richiedi segreto per il flusso del token di aggiornamento

            Questa impostazione di protezione impone che un'applicazione fornisca un segreto client valido insieme a un token di aggiornamento per ottenere un nuovo token di accesso attivo dal server di autorizzazione Salesforce.

            Nome controllo

            App client esterne: Sicurezza: Richiedi segreto per il flusso del token di aggiornamento

            Configurazione consigliata

            Richiedere un segreto per il flusso del token di aggiornamento.

            Panoramica sul controllo

            Questa impostazione di protezione impone che un'applicazione fornisca un segreto client valido insieme a un token di aggiornamento per ottenere un nuovo token di accesso attivo dal server di autorizzazione Salesforce.

            Rischio per la sicurezza se non configurato

            Senza un segreto richiesto, un token di aggiornamento compromesso può essere utilizzato da un attore non autorizzato per generare una serie infinita di sessioni valide senza necessità di alcuna autenticazione secondaria lato server.

            Scenari di minaccia

            Un aggressore estrae un token di aggiornamento di lunga durata da un dispositivo locale o da un registro di applicazione e genera correttamente nuovi token di accesso a livello di programmazione dalla propria infrastruttura poiché l'endpoint non verifica le credenziali private dell'applicazione.

            Intervallo di punteggi CVSS stimato

            Alto (7,0–8,9).

            Considerazioni sull'impatto del rischio

            L'autorizzazione di cicli di aggiornamento senza segreti consente l'esfiltrazione persistente dei dati non rilevati e l'accesso non autorizzato agli account che rimane attivo anche dopo la scadenza della sessione di accesso iniziale di un utente.

            Rischio maggiore quando

            Se l'applicazione non implementa la rotazione dei token di aggiornamento (RTR) o se i token di aggiornamento hanno una durata indefinita, fornendo una backdoor permanente per un aggressore.

            Basso rischio quando

            Se l'azienda applica restrizioni rigorose sugli indirizzi IP per l'utente integrazione e utilizza token di aggiornamento di breve durata che richiedono una frequente riautenticazione interattiva.

            Considerazioni su Business e integrazione

            L'abilitazione di questo requisito garantisce che i segreti rimangano protetti nel server di back-end, ma impedisce ai client pubblici come le applicazioni mobili o a pagina singola di aggiornare le sessioni direttamente senza un proxy sicuro.

            Rimedio consigliato

            Accedere alle impostazioni OAuth dell'app client esterna e selezionare la casella di controllo per richiedere il segreto client per il flusso del token di aggiornamento.

            Guida all'esame dello stato della sicurezza

            Security Health Review identifica l'uso obbligatorio di un segreto client per le operazioni di aggiornamento come uno standard critico per la difesa in profondità, in modo che i token bearer rubati non possano essere armati senza la credenziale dell'applicazione privata corrispondente.

            Vedere anche:

             
            Caricamento
            Salesforce Help | Article