Stiamo utilizzando un'applicazione che offre un unico segno ai loro sistemi che viene quindi incorporato come iframe (ovvero l'URL è visibile nell'origine della pagina)
La sicurezza SSO deriva dall'utilizzo di MD5 per l'hash di un numero di componenti insieme e l'hash risultante viene quindi utilizzato nell'URL.
Ad esempio, c'è una chiave del server che viene mescolata con l'indirizzo e-mail dell'utente e la data corrente, supponendo che la chiave del server sia ABCDEF, la data è 20161007125600 e l'e-mail è [email protected]
Quando questo viene sottoposto a hash, crea un hash di 973897b9cdc4381ae4202a162d28052d e l'URL per l'iframe è qualcosa del tipo:
https://server.com?hash=973897b9cdc4381ae4202a162d28052d
Supponendo che posso decrittografare l'hash alla fine con:
[email protected]
Poiché tutte le stringhe usano lo stesso identico layout, posso facilmente dividerlo nell'indirizzo e-mail, nella data e nella chiave. Così facendo ora posso creare un hash di [email protected] e passare l'MD5 di questo nell'URL e accedere come [email protected]
Questo è "sicuro"? Sto analizzando questo? Si tratta di una società piuttosto ampia e consolidata, quindi suppongo che abbiano testato questo argomento in modo estensivo, ma sono così contrario a MD5 che mi ha dato i sensi e vorrei scoprire se è qualcosa di cui preoccuparsi.