Devo convalidare Saml2 InResponseTo?

Naviga le tue risposte
3

Sto implementando un provider di servizi SAML2 che verrà eseguito su un sito Web pubblico. La funzionalità di accesso è disponibile pubblicamente, quindi chiunque può ottenere un AuthnRequest dal mio sito.

Quando ricevo una risposta dall'Ipp, devo convalidare il campo InResponseTo per assicurarmi che la risposta sia a un AuthnRequest che ho emesso o posso ignorarlo?

Non capisco come aggiungerebbe ulteriore sicurezza quando sto già convalidando la firma della risposta e avrò una protezione di riproduzione consentendo solo che ogni id di asserzione venga usato una volta entro il tempo di validità dell'asserzione (come specificato dalla condizione).

    
posta Anders Abel 13.09.2013 - 10:34
fonte

2 risposte

0

È spiegato in Considerazioni sulla sicurezza e sulla privacy per il markup sull'assicurazione della sicurezza di OASIS Language (SAML) V2.0 sezione 6.1.3 Inserimento di messaggi.

È principalmente un metodo per bloccare le richieste fabbricate inserite nella comunicazione. Come complemento alla firma e / o SSL. Non risolve un problema di sicurezza separato ma è una difesa approfondita.

La mia interpretazione è che il controllo di InResponseTo è più economico della convalida della firma e un modo più rapido per eliminare i messaggi non validi per evitare attacchi DOS.

    
risposta data 06.04.2014 - 20:52
fonte
1

Sì, secondo le specifiche SAML questo deve essere convalidato.

Non sono sicuro al 100% del motivo o di questo. Ma sto solo pensando ad alta voce. Con il contrappeso su tempo e sigature, sarai comunque in grado di riprodurre il messaggio entro il tempo di validità.

    
risposta data 13.09.2013 - 12:28
fonte

Leggi altre domande sui tag

c_hash claim in id_token e IdP MixUp mitigation iOS e il certificato Android si bloccano con Let's Encrypt