Salesforce 用户对象安全漏洞答案

【问题标题】：Salesforce User object security holeSalesforce 用户对象安全漏洞
【发布时间】：2012-01-20 18:32:24
【问题描述】：

我正在为一位客户在 Salesforce 中实施一个涉及设置合作伙伴模块的项目。我们无法根据配置文件设置用户对象标准字段的访问权限，并且使用合作伙伴登录信息，您可以从 Dataloader 或 Apex Explorer 访问所有用户信息，这看起来像是 Salesforce 中的一个安全漏洞。

以前有没有人遇到过这个问题或有解决方法？

【问题讨论】：

嗨 Nitesh，我可以看到这吸引了密切的投票，因为 SFDC 开发并不总是涉及编码。我在这里提议一个 Salesforce 堆栈交换站点：area51.stackexchange.com/proposals/37589/salesforce 请关注并在此处放置您问题的（删节）版本！
另外，当你说所有用户信息时，你是指他们自己记录上的用户信息还是其他用户记录上的用户信息？

【解决方案1】：

如果我对您的理解正确，您担心的是您可以使用客户提供的登录信息访问所有用户记录。

我同意这是一个安全问题，但我认为它不像您客户的安全实践那样是 Salesforce 特有的。如果用户凭据不需要通过数据加载器或 Apex Explorer 访问信息，那么他们应该从配置文件中删除“启用 API”权限。如果凭据应仅具有 API 访问权限，则应在配置文件上打开“仅 API 用户”权限。

归根结底，他们需要将“不受信任”的用户限制在他们需要的权限和访问级别。我发现配置文件权限能够满足我的所有安全需求。

【讨论】：