Loading
Configuration et maintenance de votre organisation Salesforce
Table des matières
Filtrer par (0)Ajouter
Sélectionner des filtres

          Aucun résultat
          Aucun résultat
          Voici quelques conseils de recherche

          Vérifiez l'orthographe de vos mots-clés.
          Utilisez des termes de recherche plus généraux.
          Sélectionnez moins de filtres pour élargir votre recherche.

            Recherchez dans toute l’aide de Salesforce
            Recherchez dans toute l’aide de Salesforce
            Sécurité : Nécessite un secret pour le flux serveur Web

            Vous êtes ici :

            1. Aide de Salesforce
            2. Documents
            3. Configuration et maintenance de votre organisation Salesforce

            Sécurité : Nécessite un secret pour le flux serveur Web

            Ce paramètre de sécurité exige que le serveur Web ou l'application fournisse un secret client unique à Salesforce pour effectuer l'échange d'un code d'autorisation contre un jeton d'accès.

            Nom du contrôle

            Applications clientes externes : Sécurité : Nécessite un secret pour le flux serveur Web

            Configuration recommandée

            Nécessite un secret pour le flux serveur Web.

            Vue d'ensemble du contrôle

            Ce paramètre de sécurité exige que le serveur Web ou l'application fournisse un secret client unique à Salesforce pour effectuer l'échange d'un code d'autorisation contre un jeton d'accès.

            Risque de sécurité s'il n'est pas configuré

            Sans secret requis, le flux du serveur Web repose uniquement sur le code d'autorisation, qui peut être intercepté via l'historique du navigateur, des en-têtes de référent ou des fichiers journaux, puis échangé contre une session par un acteur non autorisé.

            Scénarios de menace

            Un assaillant capture un code d'autorisation valide à partir de l'URI de redirection d'un utilisateur et usurpe l'identité de l'application pour demander un jeton d'accès, car le point de terminaison Salesforce ne nécessite pas d'authentification côté serveur secondaire.

            Plage de score CVSS estimée

            Élevée (7,0 à 8,9).

            Considérations relatives à l'impact sur le risque

            L'autorisation des flux de serveur Web sans secret permet un piratage de session généralisé et un accès non autorisé aux données, car l'identité de l'application demandeur n'est jamais vérifiée cryptographiquement ou administrativement pendant l'échange de jetons.

            Risque plus élevé quand

            Si l'application est hébergée sur un domaine partagé ou utilise un URI de redirection non crypté, fournissant plusieurs vecteurs à un assaillant pour observer et voler le code d'autorisation en transit.

            Risque faible quand

            Si l'application applique déjà la Clé de vérification pour l'échange de code (PKCE) à chaque transaction, car cela lie le code d'autorisation à un vérificateur à entropie élevée inconnu de l'assaillant.

            Considérations relatives à l'entreprise et à l'intégration

            L'activation de cette exigence garantit que les secrets restent protégés sur le serveur back-end, mais nécessite que l'architecture de l'application soit capable de stocker et de transmettre le secret en toute sécurité sans l'exposer au navigateur côté client.

            Remédiation recommandée

            Accédez aux paramètres OAuth de l'application cliente externe, puis cochez la case pour demander le secret client du flux serveur Web.

            Guide d'examen sanitaire de sécurité

            Security Health Review identifie l'utilisation obligatoire d'un secret client pour les flux côté serveur en tant que norme fondamentale de défense en profondeur, de sorte que les codes d'autorisation confidentiels ne peuvent pas être militarisés sans un identifiant privé secondaire.

            Voir également :

             
            Chargement
            Salesforce Help | Article