Vous êtes ici :
Auto-inscription
Ce contrôle implique la désactivation de la fonctionnalité d'auto-inscription et de ses composants Visualforce associés afin de s'assurer que les nouveaux membres de site ne peuvent être ajoutés que via un processus d'invitation autorisé et dirigé par l'administrateur.
Nom du contrôle
Auto-inscription
Configuration recommandée
Supprimer/Désactiver l'auto-inscription pour inviter de nouveaux visiteurs à rejoindre le site Experience Cloud.
Configuration>Pages Visual Force>CommunitiesSelfReg - ne doit pas avoir de profil attribué ou Page référencée et non disponible pour Lightning Experience, les sites Générateur d'expérience et l'application mobile (non cochée).
Vue d'ensemble du contrôle
Ce contrôle implique la désactivation de la fonctionnalité d'auto-inscription et de ses composants Visualforce associés afin de s'assurer que les nouveaux membres de site ne peuvent être ajoutés que via un processus d'invitation autorisé et dirigé par l'administrateur.
Risque de sécurité s'il n'est pas configuré
Lorsque l'auto-inscription est activée ou laissée active en arrière-plan, n'importe quelle personne (ou robot automatisé) sur Internet peut créer un compte utilisateur valide dans votre organisation Salesforce, en contournant vos procédures internes de vérification de l'identité.
Scénarios de menace
Un assaillant utilise un script pour enregistrer en masse des milliers de comptes fictifs, qu'il utilise ensuite pour sonder le site interne afin de détecter des vulnérabilités, supprimer des répertoires utilisateur ou lancer une attaque par déni de service (DoS) sur votre nombre de licences.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
La création incontrôlée de comptes entraîne l'épuisement des licences, la pollution des données et une surface d'attaque étendue, car chaque nouvel « utilisateur » est un point de départ potentiel pour l'exploitation des règles de partage au niveau de l'objet.
Risque plus élevé quand
Si la page Visualforce "CommunitiesSelfReg" est toujours attribuée à des profils, car elle reste une "porte dérobée" fonctionnelle accessible via une URL directe même si le bouton "S'inscrire" est masqué sur l'interface utilisateur.
Risque faible quand
Si le site utilise reCAPTCHA et un gestionnaire d'auto-inscription (Apex) qui nécessite une approbation manuelle de l'administrateur avant que tout nouveau compte enregistré soit réellement activé.
Considérations relatives à l'entreprise et à l'intégration
La désactivation de l'auto-inscription reporte la charge de l'intégration des utilisateurs sur votre équipe interne ou un système d'invitation automatisé piloté par l'API, ce qui peut augmenter les coûts administratifs, mais offre une gouvernance de sécurité supérieure.
Remédiation recommandée
Accédez à Connexion et inscription, désélectionnez « Autoriser les clients et partenaires à s'auto-inscrire », puis assurez-vous que la page Visualforce CommunitiesSelfReg n'est référencée ni accessible à aucun profil.
Guide d'examen sanitaire de sécurité
Security Health Review identifie l'accès « invité uniquement » comme la principale défense contre l'exploitation automatisée du portail en utilisant l'auto-inscription, exigeant que la fenêtre « Auto-inscription » soit ouverte uniquement si une nécessité métier vérifiée et une stratégie robuste de détection des robots sont en place.
