Al lavoro utilizziamo un portale centrale che fornisce funzionalità SSO di base ad altre applicazioni. Oltre a verificare i dati SSO inviati, tutte le nostre applicazioni interne esistenti (utilizzate dal pubblico) controllano anche l'intestazione del referrer per assicurarsi che l'utente provenga effettivamente dal nostro portale centrale. Tuttavia, abbiamo appena riscontrato un problema in cui una modifica del codice JavaScript nel portale centrale ha impedito a Internet Explorer di inoltrare l'intestazione del referrer, che ha fatto cadere tutte le app che controllano quell'intestazione.
La mia domanda è se controllare l'intestazione del referrer fornisce un miglioramento della sicurezza del mondo reale semplicemente controllando le informazioni SSO di base (ID utente crittografato contenuto in un cookie)? In caso contrario, c'è qualche documentazione / ricerca / ecc. che potrei usare per dimostrarlo alla direzione?
Devo anche dire che sfortunatamente il portale centrale è un'app di terze parti su cui non abbiamo molto controllo ... quindi le informazioni SSO di base sotto forma di cookie crittografati e informazioni sull'intestazione del referrer sono tutto ciò che dobbiamo aiutare cose sicure.