Una società mi ha chiesto se è possibile utilizzare il protocollo SAML senza alcun certificato. Lo standard non richiede che un ticket SAML sia firmato o crittografato, quindi la risposta sarebbe sì? È una risposta corretta o mi sono perso qualcosa?
Non firmare un ticket SAML sarebbe una pessima idea perché saresti un facile bersaglio per "Man in the middle-attack", sono corretto?
Esiste un'analisi approfondita della sicurezza della SAML nella tesi di dottorato di Thomas Gross (Bochum):
La sua analisi ha portato alla revisione 2.0 dello standard SAML. È molto chiaro che determinate comunicazioni devono essere crittografate per mantenere il protocollo sicuro e che è necessario sapere che si comunica con il server giusto.
Mentre esistono altre possibili soluzioni rispetto ai certificati server, i certificati sono il modo standard per farlo. Tieni presente che solo i server devono disporre di certificati, non è necessario che gli utenti / i browser dispongano di certificati.
Leggi altre domande sui tag sso saml man-in-the-middle