詳細情報:
セキュリティ: 更新トークンフローの秘密が必要
このセキュリティ設定では、Salesforce 認証サーバーから新しい有効なアクセストークンを取得するために、更新トークンと共に有効なクライアントの秘密をアプリケーションに提供する必要があります。
コントロール名
外部クライアントアプリケーション: セキュリティ: 更新トークンフローの秘密が必要
推奨設定
更新トークンフローの秘密が必要。
制御の概要
このセキュリティ設定では、Salesforce 認証サーバーから新しい有効なアクセストークンを取得するために、更新トークンと共に有効なクライアントの秘密をアプリケーションに提供する必要があります。
設定されていない場合のセキュリティリスク
必須の秘密がないと、侵害された更新トークンが不正なアクターによって使用され、セカンダリサーバー側の認証を必要とせずに、延々と有効なセッションが生成される可能性があります。
脅威のシナリオ
エンドポイントはアプリケーションの非公開ログイン情報を検証しないため、攻撃者はローカルデバイスまたはアプリケーションログから有効期間の長い更新トークンを抽出し、独自のインフラストラクチャからプログラムで新しいアクセストークンを正常に生成します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
秘密のない更新サイクルを許可すると、ユーザーの最初のログインセッションが期限切れになった後も、検出されない永続的なデータの持ち出しや、不正なアカウントアクセスが引き続き有効になります。
より高いリスク
アプリケーションが更新トークンの循環 (RTR) を実装していない場合、または更新トークンの有効期限が無期限の場合、攻撃者に永続的なバックドアが提供されます。
低リスク
会社がインテグレーションユーザーに厳しい IP アドレス制限を適用し、頻繁に対話型再認証を必要とする有効期間の短い更新トークンを使用している場合。
ビジネスと統合に関する考慮事項
この要件を有効にすると、バックエンドサーバーで秘密が確実に保護されますが、モバイルアプリケーションや単一ページアプリケーションなどの公開クライアントは、セキュアなプロキシを使用せずにセッションを直接更新できなくなります。
推奨される修復
外部クライアントアプリケーションの OAuth 設定に移動し、更新トークンフローにクライアントの秘密を要求するチェックボックスをオンにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、更新された操作にクライアントの秘密が必須で使用されることが重要な多層防御標準として識別されるため、盗まれたベアラートークンは、対応する非公開アプリケーションログイン情報なしでは武器化できません。
