Loading
Настройка и обслуживание организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Безопасность: Требовать секрет для процесса проверки подлинности маркера обновления

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Настройка и обслуживание организации Salesforce

            Безопасность: Требовать секрет для процесса проверки подлинности маркера обновления

            Данный параметр безопасности предписывает приложению предоставить действительный секрет клиента вместе с маркером обновления для получения нового активного маркера доступа от сервера авторизации Salesforce.

            Управление именем

            Приложения внешних клиентов: Безопасность: Требовать секрет для потока маркера обновления

            Рекомендованная конфигурация

            Требуйте секрет для процесса маркера обновления.

            Общие сведения о контроле

            Данный параметр безопасности предписывает приложению предоставить действительный секрет клиента вместе с маркером обновления для получения нового активного маркера доступа от сервера авторизации Salesforce.

            Риск безопасности, если он не настроен

            Без обязательного секрета скомпрометированный маркер обновления может использоваться неавторизованным исполнителем для создания бесконечной последовательности действительных сеансов без дополнительной серверной проверки подлинности.

            Сценарии угроз

            Злоумышленник извлекает долгоживущий маркер обновления из локального устройства или журнала приложения и успешно программным способом создает новые маркеры доступа из собственной инфраструктуры, поскольку конечная точка не проверяет личные регистрационные данные приложения.

            Примерный диапазон оценки CVSS

            Высокий (7,0-8,9).

            Рекомендации по влиянию риска

            Разрешение циклов обновления без секрета позволяет постоянное, не обнаруженное извлечение данных и несанкционированный доступ к организации, который остается активным даже после истечения первичного сеанса входа пользователя.

            Повышенный риск при

            Если приложение не реализует ротацию маркера обновления (RTR) или если маркеры обновления имеют неопределенный срок действия, предоставляя постоянную заднюю дверь взломщику.

            Низкий риск при

            Если компания применяет строгие ограничения IP-адресов для пользователя интеграции и использует маркеры кратковременного обновления, требующие частой интерактивной повторной проверки подлинности.

            Рекомендации по бизнесу и интеграции

            Включение этого требования обеспечивает защиту секретов на сервере, но предотвращает обновление сеансов напрямую общедоступными клиентами, например, мобильными или одностраничными приложениями, без безопасного прокси-сервера.

            Рекомендованное исправление

            Перейдите в параметры OAuth приложения внешнего клиента и установите флажок, чтобы требовать секрет клиента для процесса маркера обновления.

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности определяет обязательное использование секрета клиента для операций обновления в качестве важного стандарта глубокой защиты, поэтому украденные маркеры носителя не могут быть вооружены без соответствующих регистрационных данных личного приложения.

            См. также:

             
            Загрузка
            Salesforce Help | Article