Loading
Uw Salesforce-organisatie instellen en onderhouden
Inhoudsopgave
Filteren op (0)Toevoegen
Filters selecteren

          Geen resultaten
          Geen resultaten
          Hier zijn enkele zoektips

          Controleer de spelling van uw trefwoorden.
          Gebruik meer algemene zoektermen.
          Verwijder filters om uw zoekopdracht uit te breiden.

            De Help van Salesforce volledig doorzoeken
            De Help van Salesforce volledig doorzoeken
            Beveiliging: Geheim vereisen voor webserverstroom

            U bent hier:

            1. Help van Salesforce
            2. Documenten
            3. Uw Salesforce-organisatie instellen en onderhouden

            Beveiliging: Geheim vereisen voor webserverstroom

            Deze beveiligingsinstelling vereist dat de webserver of toepassing een uniek clientgeheim aan Salesforce moet verstrekken om de uitwisseling van een autorisatiecode voor een toegangstoken te voltooien.

            Controlenaam

            Externe clientapps: Beveiliging: Geheim vereisen voor webserverstroom

            Aanbevolen configuratie

            Geheim vereisen voor webserverstroom.

            Overzicht van besturingselementen

            Deze beveiligingsinstelling vereist dat de webserver of toepassing een uniek clientgeheim aan Salesforce moet verstrekken om de uitwisseling van een autorisatiecode voor een toegangstoken te voltooien.

            Beveiligingsrisico indien niet geconfigureerd

            Zonder een verplicht geheim vertrouwt de webserverstroom uitsluitend op de autorisatiecode, die kan worden onderschept via browserhistorie, headers van verwijzende personen of logboeken en later kan worden uitgewisseld voor een sessie door een niet-geverifieerde actor.

            Dreigingsscenario's

            Een aanvaller legt een geldige autorisatiecode vast uit de omleidings-URI van een gebruiker en doet zich voor als de toepassing om een toegangstoken aan te vragen, omdat het Salesforce-eindpunt geen secundaire authenticatie aan serverzijde vereist.

            Geschatte CVSS-scorebereik

            Hoog (7,0–8,9).

            Overwegingen bij risico-impact

            Het toestaan van geheimloze webserverstromen maakt wijdverbreide sessie-overname en ongeoorloofde toegang tot gegevens mogelijk, aangezien de identiteit van de aanvragende toepassing nooit cryptografisch of identificeerbare wordt geverifieerd tijdens de tokenuitwisseling.

            Hoger risico wanneer

            Als de toepassing wordt gehost op een gedeeld domein of een niet-versleutelde omleidings-URI gebruikt, waardoor een aanvaller meerdere vectoren heeft om de autorisatiecode onderweg te observeren en te stelen.

            Laag risico wanneer

            Als de toepassing al Proof Key for Code Exchange (PKCE) afdwingt voor elke transactie, aangezien dit de autorisatiecode bindt aan een hoge-entropieverificatie die onbekend is voor de aanvaller.

            Overwegingen bij bedrijf en integratie

            Het inschakelen van deze vereiste zorgt ervoor dat geheimen beschermd blijven op de back-endserver, maar vereist dat de toepassingsarchitectuur in staat is om het geheim veilig op te slaan en te verzenden zonder het openbaar te maken aan de clientbrowser.

            Aanbevolen oplossing

            Ga naar de OAuth-instellingen van de Externe client-app en schakel het selectievakje in om het clientgeheim te vereisen voor de webserverstroom.

            Begeleiding bij beoordeling van beveiligingstoestand

            Beoordeling van beveiligingstoestand identificeert het verplichte gebruik van een clientgeheim voor stromen aan serverzijde als een fundamentele verdedigingsnorm, zodat gevoelige autorisatiecodes niet kunnen worden bewapend zonder een secundair, privégegeven.

            Zie ook:

             
            Wordt geladen
            Salesforce Help | Article