Ti trovi qui:
Auto registrazione
Questo controllo prevede la disattivazione della funzione di auto registrazione e dei componenti Visualforce associati per assicurarsi che i nuovi membri del sito possano essere aggiunti solo tramite un processo di invito autorizzato diretto dall'amministratore.
Nome controllo
Auto registrazione
Configurazione consigliata
Eliminare/disabilitare l'auto registrazione per invitare nuovi visitatori a entrare nel sito Experience Cloud.
Imposta>Pagine Visual Force>CommunitiesSelfReg - non deve avere il profilo assegnato o il riferimento alla pagina e non disponibile per Lightning Experience, Siti Generatore di esperienze e App mobile (non selezionata).
Panoramica sul controllo
Questo controllo prevede la disattivazione della funzione di auto registrazione e dei componenti Visualforce associati per assicurarsi che i nuovi membri del sito possano essere aggiunti solo tramite un processo di invito autorizzato diretto dall'amministratore.
Rischio per la sicurezza se non configurato
Quando l'auto registrazione è abilitata o lasciata attiva in background, qualsiasi persona (o bot automatico) su Internet può creare un account utente valido nell'organizzazione Salesforce, ignorando le procedure di controllo interno e verifica dell'identità.
Scenari di minaccia
Un aggressore utilizza uno script per registrare in blocco migliaia di account fittizi, che poi utilizza per sondare il sito interno alla ricerca di vulnerabilità, eliminare gli elenchi utenti o lanciare un attacco DoS (DoS) al conteggio delle licenze.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
La creazione incontrollata degli account causa l'esaurimento delle licenze, l'inquinamento dei dati e una superficie di attacco estesa, poiché ogni nuovo "utente" è un potenziale punto di partenza per sfruttare le regole di condivisione a livello di oggetto.
Rischio maggiore quando
Se la pagina Visualforce "CommunitiesSelfReg" è ancora assegnata ai profili, poiché rimane una "backdoor" funzionale raggiungibile tramite un URL diretto anche se il pulsante "Registra" è nascosto nell'interfaccia utente.
Basso rischio quando
Se il sito utilizza reCAPTCHA e un handler di auto registrazione (Apex) che richiede l'approvazione manuale dell'amministratore prima che qualsiasi account appena registrato venga effettivamente attivato.
Considerazioni su Business e integrazione
La disabilitazione dell'auto registrazione sposta l'onere dell'orientamento degli utenti sul team interno o su un sistema di invito automatico basato sull'API, che può aumentare il sovraccarico amministrativo ma offre una governance di sicurezza superiore.
Rimedio consigliato
Accedere ad Accesso e registrazione, deselezionare "Consenti a clienti e partner di autoregistrarsi" e verificare che la pagina Visualforce CommunitiesSelfReg non sia referenziata o accessibile ad alcun profilo.
Guida all'esame dello stato della sicurezza
Security Health Review identifica l'accesso "solo su invito" come la principale difesa contro lo sfruttamento automatico del portale tramite l'auto registrazione, richiedendo che la finestra "Auto registrazione" venga aperta solo se esiste una necessità aziendale verificata e una solida strategia di rilevamento dei bot.
