Salesforce
Developer.RU
Форум
Регистрация  |  Вход

Salesforce блочит пользователей которые используют VPN?

Сегодня на почту пришло любопытное письмо.

At Salesforce, we understand that the confidentiality, integrity, and availability of your data is vital to your business, and we take the protection of your data very seriously. In support of our commitment to security and transparency, we are writing to inform you that we have identified and contained what appears to be the re-use of OAuth tokens within your organization. This activity specifically involved an anonymizing proxy (e.g. TOR, Mullvad VPN, etc.).

To remediate this potential security issue, we froze the user ID 005xxxxxxxxxxx, revoked all access tokens previously granted to that user, and forced that user to reset their password.

In order for 005xxxxxxxxxxxx to regain access to Salesforce, you or your Salesforce admin will need to unfreeze that user.

Пользователь по ID действительно оказался заблокирован (Freeze).

Нашел вот такую статью

Preventing Connections from Anonymizing VPNs, Proxies and High-Risk IP Addresses

Там собственно все так и объясняется как в письме. Но есть пометка что это касается Connected App and API traffic.

Смысл этой фичи понятен.

Но вот вопросы:
- Блокируются только обычные пользователи? Или админы тоже?
- Это для всех оргов или только для прода
- Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен?

Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?
Dmitry Shnyrev 
Сегодня на почту пришло любопытное письмо. 

[i]At Salesforce, we understand that the confidentiality, integrity, and availability of your data is vital to your business, and we take the protection of your data very seriously. In support of our commitment to security and transparency, we are writing to inform you that we have identified and contained what appears to be the re-use of OAuth tokens within your organization. This activity specifically involved an anonymizing proxy (e.g. TOR, Mullvad VPN, etc.).

To remediate this potential security issue, we froze the user ID 005xxxxxxxxxxx, revoked all access tokens previously granted to that user, and forced that user to reset their password.

In order for 005xxxxxxxxxxxx to regain access to Salesforce, you or your Salesforce admin will need to unfreeze that user.[/i]

Пользователь по ID действительно оказался заблокирован (Freeze).

Нашел вот такую статью

[url=https://help.salesforce.com/s/articleView?id=005318944&type=1]Preventing Connections from Anonymizing VPNs, Proxies and High-Risk IP Addresses[/url]

Там собственно все так и объясняется как в письме. Но есть пометка что это касается Connected App and API traffic. 

Смысл этой фичи понятен. 

Но вот вопросы: 
- Блокируются только обычные пользователи? Или админы тоже? 
- Это для всех оргов или только для прода
- Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен?

Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?
Нашел обсуждение на reddit

https://www.reddit.com/r/salesforce/comm ... _access/

Оказывается у многих с этим проблема. Пользователи блокируются массово по неожиданным причинам
Dmitry Shnyrev 
Нашел обсуждение на reddit

https://www.reddit.com/r/salesforce/comments/1t5obc5/highrisk_ip_vpn_security_enforcement_user_access/

Оказывается у многих с этим проблема. Пользователи блокируются массово по неожиданным причинам :surprised:
Dmitry Shnyrev
Но вот вопросы:
- Блокируются только обычные пользователи? Или админы тоже?
- Это для всех оргов или только для прода
- Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен?

Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?

Блокируются только обычные пользователи или админы тоже?
Блокируются все, включая пользователей integration user и (соответственно) администраторы. Kомпрометация админа несет гораздо больше рисков.
меры: Freeze user и revoke всех OAuth-токенов.

Это для всех оргов или только для прода
По важности конечно в это касается Production.
Но в Sandbox, блокировка может произойти тоже. я думаю что Salesforce мониторит подозрительную активность на уровне своей инфраструктуры, а не конкретного типа инстанса.

Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен?
Врядли. можно добавить Trusted IP Ranges или Login IP Ranges (на уровне конкретного Profile).
Relax IP Restrictions в connected app.

Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?
UNFreeze
Eric 
[quote="Dmitry Shnyrev"]Но вот вопросы:
- Блокируются только обычные пользователи? Или админы тоже?
- Это для всех оргов или только для прода
- Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен?

Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?[/quote]

[b]Блокируются только обычные пользователи или админы тоже?[/b]
Блокируются все, включая пользователей integration user и (соответственно) администраторы. Kомпрометация админа несет гораздо больше рисков.
меры: Freeze user  и revoke всех OAuth-токенов.

[b]Это для всех оргов или только для прода[/b]
По важности конечно в это касается Production.
Но в Sandbox, блокировка может произойти тоже. я думаю что Salesforce мониторит подозрительную активность на уровне своей инфраструктуры, а не конкретного типа инстанса.

[b]Можно ли как-то это отключить для опрелеленных пользователей, которым VPN нужен?[/b]
Врядли. можно добавить Trusted IP Ranges или Login IP Ranges (на уровне конкретного Profile).
Relax IP Restrictions в connected app.

Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?
:rolling::so-sad:   UNFreeze
Eric
Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?
UNFreeze
А как ты себя UNFreeze если ты один админ на орге (сандбоксе). Придется заводить еще одного админа "на всякий пожарный"? А на проде если тебя заблочит - придется просить клиента чтобы он тебя UNFreeze? Как-то стремно звучит, не каждый клиент поймет.
Dmitry Shnyrev 
[quote="Eric"]Может ли так случиться, что работаешь с VPN, забыл выключить и пошел в SF. А тебя заблочили. ХМ?
  UNFreeze[/quote]
А как ты себя UNFreeze если ты один админ на орге (сандбоксе). Придется заводить еще одного админа "на всякий пожарный"? А на проде если тебя заблочит - придется просить клиента чтобы он тебя UNFreeze? Как-то стремно звучит, не каждый клиент поймет.
Dmitry Shnyrev
если ты один админ на орге (сандбоксе).
Один админ на орге - это рискованно в любом случае.
возможно salesforce support может помочь.


другая опция это Delegated Admin with permissions to manage users, лучше проверить.
Eric 
[quote="Dmitry Shnyrev"]если ты один админ на орге (сандбоксе).[/quote]
Один админ на орге - это рискованно в любом случае. :so-sad:
возможно salesforce support может помочь.


другая опция это  Delegated Admin with permissions to manage users, лучше проверить.
Eric
Один админ на орге - это рискованно в любом случае.
возможно salesforce support может помочь.
Не, я не так выразился . Лицензии есть. Просто у меня на сандбоксе я один работаю. Если меня SF блочит (буду так называть Freeze, а то язык сломаешь), то никто не поможет. Нужно просто иметь в запасе еще одного активного админа на сандбоксе для этого случая.

На проде просто придется кого-то просить, но это не солидно если ты там самый прошаренный и все к тебе обращаюься по любому поводу
Dmitry Shnyrev 
[quote="Eric"]Один админ на орге - это рискованно в любом случае. 
возможно salesforce support может помочь.[/quote]
Не, я не так выразился :smiley:. Лицензии есть. Просто у меня на сандбоксе я один работаю. Если меня SF блочит (буду так называть Freeze, а то язык сломаешь), то никто не поможет. Нужно просто иметь в запасе еще одного активного админа на сандбоксе для этого случая.

На проде просто придется кого-то просить, но это не солидно если ты там самый прошаренный и все к тебе обращаюься по любому поводу :rolling:
Ну вывод такой. Не сидеть под VPN когда работаешь. Это сложновато в эпоху вайбкодинга из некоторых стран. Ну и надеяться что VPN который ты используешь не засветится в High-Risk IP Addresses. Все-таки мой vpn не самый популярный и думаю не знакомый SF. Ну и надеюсь что SF банит просто по списку IP адресов который у них есть, а не занимается анализом чего-то там в попытках словить тебя за эту штуку из трех букв (хотя!?).
Dmitry Shnyrev 
Ну вывод такой. Не сидеть под VPN когда работаешь. Это сложновато в эпоху вайбкодинга из некоторых стран. Ну и надеяться что VPN который ты используешь не засветится в High-Risk IP Addresses. Все-таки мой vpn не самый популярный и думаю не знакомый SF. Ну и надеюсь что SF банит просто по списку IP адресов который у них есть, а не занимается анализом чего-то там в попытках словить тебя за эту штуку из трех букв :rolling::rolling::rolling: (хотя!?).
А прикинь ситуацию SF банит доступ из стран под санкциями вынуждая разрабов сидеть под VPN, а потом начинает блочить всех кто использует VPN.
Dmitry Shnyrev 
А прикинь ситуацию :surprised: SF банит доступ из стран под санкциями вынуждая разрабов сидеть под VPN, а потом начинает блочить всех кто использует VPN. :surprised::surprised::surprised: