SAML senza certificato

2

Una società mi ha chiesto se è possibile utilizzare il protocollo SAML senza alcun certificato. Lo standard non richiede che un ticket SAML sia firmato o crittografato, quindi la risposta sarebbe sì? È una risposta corretta o mi sono perso qualcosa?

Non firmare un ticket SAML sarebbe una pessima idea perché saresti un facile bersaglio per "Man in the middle-attack", sono corretto?

    
posta Robert 28.01.2016 - 08:38
fonte

1 risposta

3

Esiste un'analisi approfondita della sicurezza della SAML nella tesi di dottorato di Thomas Gross (Bochum):

link

La sua analisi ha portato alla revisione 2.0 dello standard SAML. È molto chiaro che determinate comunicazioni devono essere crittografate per mantenere il protocollo sicuro e che è necessario sapere che si comunica con il server giusto.

Mentre esistono altre possibili soluzioni rispetto ai certificati server, i certificati sono il modo standard per farlo. Tieni presente che solo i server devono disporre di certificati, non è necessario che gli utenti / i browser dispongano di certificati.

    
risposta data 28.01.2016 - 09:52
fonte

Leggi altre domande sui tag