Selbstregistrierungssteuerung

Steuerelementname

Selbstregistrierung

Empfohlene Konfiguration

Löschen/Deaktivieren Sie die Selbstregistrierung, um neue Besucher zur Aufnahme in die Experience Cloud-Site einzuladen.

"Setup>Visual Force Pages>CommunitiesSelfReg": Für Lightning Experience, Erfahrungsgenerator-Sites und die mobile Anwendung sollte kein Profil zugewiesen oder "Seite referenziert" und "Nicht verfügbar" (nicht aktiviert) sein.

Steuerelementübersicht

Bei dieser Steuerung werden die Selbstregistrierungsfunktion und die zugehörigen Visualforce-Komponenten deaktiviert, um sicherzustellen, dass neue Site-Mitglieder nur über einen autorisierten, vom Administrator geführten Einladungsprozess hinzugefügt werden können.

Sicherheitsrisiko, wenn nicht konfiguriert

Wenn die Selbstregistrierung aktiviert ist oder im Hintergrund aktiv bleibt, kann jede Person (oder jeder automatisierte Bot) im Internet einen gültigen Benutzeraccount in Ihrer Salesforce-Organisation erstellen und Ihre internen Überprüfungs- und Identitätsüberprüfungsverfahren umgehen.

Bedrohungsszenarien

Ein Angreifer verwendet ein Skript, um Tausende von Dummy-Accounts per Massenvorgang zu registrieren. Anhand dieses Skripts kann er dann die interne Site auf Schwachstellen untersuchen, Benutzerverzeichnisse kratzen oder einen Denial-of-Service-Angriff (DoS) auf Ihre Lizenzanzahl starten.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Die unkontrollierte Accounterstellung führt zu Lizenzerschöpfung, Datenverschmutzung und einer erweiterten Angriffsfläche, da jeder neue "Benutzer" ein potenzieller Ausgangspunkt für die Nutzung von Freigaberegeln auf Objektebene ist.

Höheres Risiko, wenn

Wenn die Visualforce-Seite "CommunitiesSelfReg" weiterhin Profilen zugewiesen ist, da sie weiterhin eine funktionale "Hintertür" ist, die über einen direkten URL aufgerufen werden kann, selbst wenn die Schaltfläche "Registrieren" auf der Benutzeroberfläche ausgeblendet ist.

Geringes Risiko, wenn

Wenn die Site reCAPTCHA und einen Selbstregistrierungs-Handler (Apex) verwendet, für den eine manuelle Genehmigung durch den Administrator erforderlich ist, bevor ein neu registrierter Account tatsächlich aktiviert wird.

Überlegungen zu Unternehmen und Integration

Durch das Deaktivieren der Selbstregistrierung wird die Einarbeitung von Benutzern auf Ihr internes Team oder ein automatisiertes API-gesteuertes Einladungssystem verlagert, was den Verwaltungsaufwand erhöhen kann, aber eine überlegene Sicherheitsverwaltung bietet.

Empfohlene Sanierung

Wechseln Sie zu "Anmeldung & Registrierung", deaktivieren Sie das Kontrollkästchen "Kunden und Partnern die Selbstregistrierung erlauben" und stellen Sie sicher, dass auf die Visualforce-Seite "CommunitiesSelfReg" weder verwiesen noch auf Profile zugegriffen werden kann.

Anleitung zur Sicherheitsintegritätsprüfung

Bei der Sicherheitsintegritätsprüfung wird der "Nur-Einladung"-Zugriff als primärer Schutz vor der automatisierten Portalausbeutung mithilfe der Selbstregistrierung identifiziert. Daher wird verlangt, dass das Fenster "Selbstregistrierung" nur geöffnet wird, wenn eine überprüfte Geschäftsnotwendigkeit und eine zuverlässige Bot-Erkennungsstrategie vorhanden sind.