Loading
Opsæt og vedligehold din Salesforce-organisation
Indhold
Filtrer efter (0)Tilføj
Vælg filtre

          Ingen resultater
          Ingen resultater
          Her er nogle søgetips

          Kontroller stavemåden for dine søgeord.
          Brug mere generelle søgeudtryk.
          Vælg færre filtre for at gøre søgningen bredere.

            Søg efter alle i Hjælp til Salesforce
            Søg efter alle i Hjælp til Salesforce
            Sikkerhed: Kræv hemmelighed for webserverforløb

            breadcrumbDescription

            1. helpHomeLinkText
            2. docsHomeLinkTextShort
            3. Opsæt og vedligehold din Salesforce-organisation

            Sikkerhed: Kræv hemmelighed for webserverforløb

            Denne sikkerhedsindstilling kræver, at webserveren eller applikationen skal levere en entydig klienthemmelighed til Salesforce for at fuldføre udvekslingen af en autorisationskode for et adgangstoken.

            Kontrolnavn

            Eksterne klientapps: Sikkerhed: Kræv hemmelighed for webserverforløb

            Anbefalet konfiguration

            Kræv hemmelighed for webserverforløb.

            Kontroller oversigt

            Denne sikkerhedsindstilling kræver, at webserveren eller applikationen skal levere en entydig klienthemmelighed til Salesforce for at fuldføre udvekslingen af en autorisationskode for et adgangstoken.

            Sikkerhedsrisiko, hvis den ikke er konfigureret

            Uden en krævet hemmelighed er webserverforløbet udelukkende afhængig af autorisationskoden, som kan opfanges gennem browserhistorik, henvisningssidehoveder eller logfiler og senere udskiftes for en session af en uautoriseret aktør.

            Trusselscenarier

            En angriber registrerer en gyldig autorisationskode fra en brugers omdirigerings-URI og foregiver applikationen til at anmode om et adgangstoken, da Salesforce-slutpunktet ikke kræver sekundær servergodkendelse.

            Estimeret CVSS-scoringsinterval

            Høj (7,0-8,9).

            Overvejelser i forbindelse med risikopåvirkning

            Tilladelse af webserverforløb uden hemmelighed tillader omfattende sessionsovertagelse og uautoriseret dataadgang, da identiteten af den anmodende applikation aldrig kryptografisk eller administrativt bekræftes under tokenudvekslingen.

            Højere risiko når

            Hvis applikationen er hostet på et delt domæne eller bruger en ukrypteret omdirigerings-URI, leverer flere vektorer, så en angriber kan observere og stjæle autorisationskoden undervejs.

            Lav risiko når

            Hvis applikationen allerede håndhæver PKCE (Proof Key for Code Exchange) for hver transaktion, da dette binder autorisationskoden til en bekræftelse med høj entropi, der er ukendt for angriberen.

            Overvejelser i forbindelse med forretning og integration

            Aktivering af dette krav sikrer, at hemmeligheder forbliver beskyttede på back-end-serveren, men det kræver, at applikationsarkitekturen er i stand til sikkert at lagre og overføre hemmeligheden uden at vise den til browseren på klientsiden.

            Anbefalet rettelse

            Gå til OAuth-indstillingerne for den eksterne klientapp, og marker afkrydsningsfeltet for at kræve klienthemmeligheden for webserverforløbet.

            Vejledning til sikkerhedstilstandsgennemgang

            Sikkerhedstilstandscheck identificerer den obligatoriske brug af en klienthemmelighed for forløb på serversiden som en grundlæggende dybdegående standard, så følsomme autorisationskoder ikke kan vapnes uden en sekundær privat legitimationsoplysning.

            Related information html

             
            Indlæser
            Salesforce Help | Article