Questi equivalenti al Nome del SAML sono equivalenti?

Naviga le tue risposte
1

Ho un'applicazione che utilizza l'autenticazione SAML, funge da SP e quindi analizza SAMLResponses. Ho ricevuto la notifica che un IdP che comunica con la mia applicazione inizierà ora a firmare i loro SAMLResponses con il link invece di quello che erano soliti fare, che era link . Questo nuovo metodo significa che i commenti ora sono importanti quando si calcola la validità della firma SAML.

Ecco la mia domanda: quando si utilizza la canonizzazione di #WithComments sopra elencata, questi sono NameIDs equivalenti? Oppure produrranno diverse firme SAML? 

<NameID> [email protected] </NameID>
<NameID> test <[email protected]> </NameID>
<NameID> test <!--@--> user.com </NameID>
<NameID> [email protected] <!----> </NameID>
    
posta twilco 01.03.2018 - 22:33
fonte

1 risposta

5

Questo presumibilmente è in risposta al link .

Le firme XML saranno diverse in quanto i commenti XML fanno parte dell'XML canonizzato firmato.

Ovviamente, il valore NameID è [email protected] per il 1 ° e il 4 ° esempio, test user.com per il 2 ° esempio e test per il 3 ° esempio.

Il problema non dipende dal metodo di canonicalizzazione, ma piuttosto da alcune librerie SAML che utilizzavano il primo nodo di testo come valore NameID piuttosto che la concatenazione di tutti i nodi di testo. Ad esempio, [email protected] potrebbe essere modificato in test<!--comment-->@user.com senza influire sulla firma e alcune librerie SAML restituirebbero test come NameID.

L'utilizzo del link aggirerebbe questo problema, ma sarebbe comunque utile verificare se il tuo La libreria SAML gestisce correttamente i commenti incorporati.

    
risposta data 02.03.2018 - 01:46
fonte

Leggi altre domande sui tag

Perché l'autenticazione di sale + nonce su canali non sicuri è vulnerabile all'attacco man-in-the-middle? Esiste un modo per proteggere un gioco lato client da un client compromesso?