Sto aggiungendo il supporto per SAML / ADFS / Azure ACS e leggi che i metadati non attendibili rappresentano un rischio .
Considerando che ADFS fa l'aggiornamento in background dei metadati, come fanno alcuni RP, qualcuno può spiegare il rischio e in che modo si riferisce alla funzione di aggiornamento automatico?
Il mio pensiero è che dovrei disabilitare Auto-Refresh per evitare di essere influenzato dagli exploit di un altro server.
Bene, in modo più accurato si dice che le parti di terze parti non fidate rappresentano un rischio.
Se accetti richieste di token da qualsiasi RP, un utente malintenzionato potrebbe facilmente raccogliere un bel po 'di informazioni su un utente. Questo è il rischio. Se rispondi solo alle richieste di RP che conosci e di cui ti fidi, la probabilità che un utente malintenzionato raccolga le stesse informazioni è meno probabile.
I metadati non attendibili da soli non sono poi così rischiosi. Diventa rischioso solo se inizi a consumarlo.
Se qualcuno compromette i metadati di un RP fidato, allora possono fare alcune cose. Possono modificare il set predefinito di richieste richieste (ma è ancora in grado di soddisfare tale richiesta), possono modificare la chiave di firma o la chiave di crittografia, consentendo all'utente in mezzo o attacchi correlati, possono modificare i dettagli del contatto dell'amministratore, oppure possono modificare gli endpoint a cui vengono inviati token.
La più grande minaccia IMO sta cambiando le chiavi. Questo però non influisce direttamente sulla sicurezza del STS, ma solo sull'RP. Naturalmente, potresti essere ritenuto responsabile perché hai accettato il cambio di chiavi, bla bla bla.
L'unica volta che autorizzo i metadati ad essere aggiornati automaticamente è durante lo sviluppo. Per le distribuzioni di produzione, copio localmente i metadati e lo verifichi prima di aggiungerlo.
Leggi altre domande sui tag authentication azure saml federation adfs