Ein Proxy hilft allerdings nicht, wenn der Token selbst in einen OmniOut-Code eingebettet ist, der kompromittiert oder in öffentlichen Versionskontrollsystemen wie GitHub gespeichert wurde. Darüber hinaus könnte ein Proxy Risiken mit sich bringen, wenn er schlecht konfiguriert ist und Anfragen ohne Validierung weiterleitet. Benutzer könnten versuchen, Parameter und Werte zu manipulieren.
„Da OmniOut in der Regel auf authentifizierte Salesforce-APIs zurückgreift, wird diese Kontoanforderung erfüllt, indem der OmniOut-Komponente ein Zugriffstoken für verbundene Apps bereitgestellt wird, das für Anfragen im Namen aller externen Benutzer verwendet wird“, so Costello. „Obwohl dies in der Salesforce-Dokumentation, in der der Erstellungsprozess für verbundene Apps beschrieben wird, nicht ausdrücklich erwähnt wird, ist es unerlässlich, dass Unternehmen keinen Zugriffstoken für OmniOut generieren, der mit einem privilegierten Konto wie dem des Systemadministrators verknüpft ist.“
Schließlich verfügen OmniScripts, die mehrere Backend-Operationen über IProcs, Information Mappers und FlexCards miteinander verknüpfen, über eine Funktion namens „Saved Session“. Mit dieser können Benutzer ihren Fortschritt speichern und später zum Skript zurückkehren. Werden solche Sitzungen generiert, wird im OmniScript Saved Session sObject ein Datensatz zusammen mit allen Daten erstellt, die vom Skript bis zum Speichern eingegeben oder zurückgegeben wurden. Standardmäßig gibt es keine Ablaufzeit für diese gespeicherten Sitzungen.
