Loading
Säkra din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            Säkerhet: Kräv hemlighet för flödeskontroll för uppdateringstoken

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Säkra din Salesforce-organisation

            Säkerhet: Kräv hemlighet för flödeskontroll för uppdateringstoken

            Denna säkerhetsinställning kräver att ett program måste tillhandahålla en giltig klienthemlighet tillsammans med en uppdateringstoken för att få en ny, aktiv åtkomsttoken från Salesforces auktoriseringsserver.

            Kontrollnamn

            Externa klientappar: Säkerhet: Kräv hemlighet för uppdateringstokenflöde

            Rekommenderad konfiguration

            Kräv en hemlighet för uppdateringstokenflöde.

            Kontrollöversikt

            Denna säkerhetsinställning kräver att ett program måste tillhandahålla en giltig klienthemlighet tillsammans med en uppdateringstoken för att få en ny, aktiv åtkomsttoken från Salesforces auktoriseringsserver.

            Säkerhetsrisk om den inte är konfigurerad

            Utan en obligatorisk hemlighet kan en komprometterad uppdateringstoken användas av en obehörig aktör för att skapa en oändlig serie giltiga sessioner utan att behöva någon sekundär autentisering på serversidan.

            Hotscenarier

            En attackerare extraherar en långlivad uppdateringstoken från en lokal enhet eller programlogg och skapar programmatiskt nya åtkomsttokens från sin egen infrastruktur eftersom slutpunkten inte verifierar programmets privata inloggningsuppgifter.

            Uppskattat CVSS-betygintervall

            Hög (7,0-8,9).

            Att tänka på vad gäller riskpåverkan

            Att tillåta hemliga uppdateringscykler tillåter beständig, oupptäckt dataexfiltrering och obehörig kontoåtkomst som förblir aktiv även efter att en användares inledande inloggningssession har löpt ut.

            Högre risk när

            Om programmet inte implementerar Rotation för uppdateringstoken (RTR) eller om uppdateringstokens har en obestämd livslängd, vilket ger en permanent bakdörr för en attackerare.

            Låg risk när

            Om företaget tillämpar strikta IP-adressbegränsningar för integreringsanvändaren och använder kortlivade uppdateringstokens som kräver frekvent interaktiv återautentisering.

            Att tänka på vad gäller affärer och integration

            Att aktivera detta krav säkerställer att hemligheter förblir skyddade på backendservern, men det förhindrar offentliga klienter som mobilappar eller program med en sida från att uppdatera sessioner direkt utan en säker proxy.

            Rekommenderad åtgärd

            Gå till OAuth-inställningarna för den externa klientappen och markera kryssrutan för att kräva klienthemligheten för uppdateringstokenflödet.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning identifierar obligatorisk användning av en klienthemlighet för uppdateringsåtgärder som en viktig standard för försvar, så att stulna bärartokens inte kan beväpnas utan motsvarande inloggningsuppgifter för privat program.

            Se även:

             
            Laddar
            Salesforce Help | Article