L’idée de permettre à un utilisateur d’apporter son propre compte dans une entreprise fonctionne dans une certaine mesure sur le site lui-même, mais n’empêche pas la lecture de l’appartenance à une organisation lorsque l’on se connecte à une application via GitHub
Une session SAML n’est nécessaire que lorsque les données sont récupérées via un jeton obtenu par l’utilisateur
Les outils SAST utilisent presque toujours des jetons d’instance d’application et montrent le code à toute personne disposant d’un compte GitHub
Tailscale a résolu ce problème, mais Sonarcloud a demandé que cela reste secret, et GitHub a répondu quelques semaines plus tard que ce comportement était attendu
Signaler des failles de sécurité est un travail ingrat
J’ai récemment dû implémenter SAML, et ce titre ne me surprend pas du tout
La spécification SAML elle-même est raisonnable, mais elle repose sur les signatures XML et la canonicalisation XML, ce qui la rend extrêmement complexe
Il n’y a qu’un comité pour réussir à combiner des idées aussi contradictoires
SAML (et plus largement XML-DSIG) est le pire protocole de sécurité encore couramment utilisé
Il faut prendre toutes les mesures nécessaires pour migrer vers OAuth
Je ne m’appuierais pas dessus pour lancer un nouveau produit sur le marché
À moins d’une percée réelle dans la vérification formelle, les vulnérabilités DSIG ne seront ni les dernières ni les pires
Il ne faut pas utiliser REXML
Il accepte volontiers d’analyser du XML invalide, ce qui provoque une infinité de problèmes
Utiliser des expressions régulières pour analyser du XML est un anti-pattern
Les projets n’ont pas adopté Nokogiri pour les performances, mais pour la justesse
Excellent article
Merci à ahacker1 pour son travail sur la sécurité des implémentations SAML
WorkOS a publié un article sur sa collaboration avec ahacker1
Une vulnérabilité a été découverte dans GitLab et signalée à l’équipe sécurité
GitLab l’a corrigée
Un article de Latacora de 2019, à propos de la manière de signer des objets JSON
Imbriquer des arbres puis les signer est difficile
Il est plus simple de conserver le message sous forme de chaîne brute et de le signer
Une conclusion plus simple est qu’il faut trouver l’endroit où la signature est censée se trouver
Il ne faut pas utiliser un XPath générique qui recherche des signatures à des emplacements inattendus
C’est agaçant qu’un billet de blog explique la vulnérabilité tout en omettant les différences de parseur concernées
C’est comme écrire l’introduction d’une histoire et en supprimer le point culminant
Je viens de lire pour la première fois les détails techniques des signatures XML, et j’en ai le vertige
Je me demande s’il existe une raison non liée à l’héritage pour préférer SAML à l’authentification par clé publique de libsodium (crypto_box)
Je me demande s’il existe un risque non théorique de différences de parseur lorsqu’on utilise crypto_box de libsodium et x/crypto/nacl/box de Golang
1 commentaires
Avis Hacker News
L’implémentation SAML de GitHub est inutile
J’ai récemment dû implémenter SAML, et ce titre ne me surprend pas du tout
SAML (et plus largement XML-DSIG) est le pire protocole de sécurité encore couramment utilisé
Il ne faut pas utiliser REXML
Excellent article
Une vulnérabilité a été découverte dans GitLab et signalée à l’équipe sécurité
Un article de Latacora de 2019, à propos de la manière de signer des objets JSON
Une conclusion plus simple est qu’il faut trouver l’endroit où la signature est censée se trouver
C’est agaçant qu’un billet de blog explique la vulnérabilité tout en omettant les différences de parseur concernées
Je viens de lire pour la première fois les détails techniques des signatures XML, et j’en ai le vertige
crypto_box)crypto_boxde libsodium etx/crypto/nacl/boxde Golang