Una società mi ha chiesto se è possibile utilizzare il protocollo SAML senza alcun certificato. Lo standard non richiede che un ticket SAML sia firmato o crittografato, quindi la risposta sarebbe sì? È una risposta corretta o mi sono perso qualcosa?
Non firmare un ticket SAML sarebbe una pessima idea perché saresti un facile bersaglio per "Man in the middle-attack", sono corretto?