Czy konieczne jest szyfrowanie żądania SAML, jeśli podpisuję je przy użyciu mojego klucza prywatnego i wysyłam je przez SSL? A może lepiej byłoby podpisać go przy użyciu mojego klucza prywatnego, zaszyfrować go za pomocą klucza publicznego dostawcy tożsamości ORAZ przesłać go przez SSL?Czy zaleca się podpisywanie i szyfrowanie SAML I używanie SSL?
Odpowiedz
Zapytanie/zapytanie o asercję SAML zwykle nie zawiera zbyt wielu prywatnych danych, a samo żądanie zwykle nie jest używane w późniejszym czasie, więc nie ma potrzeby szyfrowania samego żądania SAML. Podpisanie go umożliwi odbiorcy sprawdzenie, czy zawartość nie została zmieniona podczas tranzytu, a jego tranzyt przez SSL zapewni prywatność podczas transmisji. Szyfrowanie żądania w tej sytuacji jest prawdopodobnie przesadą.
Odpowiedź asercji SAML jest jednak zupełnie innym zwierzęciem. Odpowiedź SAML zawierająca oświadczenia lub zapewnienia prawdopodobnie zawiera prywatne dane. W zależności od tego, w jaki sposób te asercje są używane w systemie, asercje mogą być przekazywane między różnymi stronami, niektóre z których klucze mają klucze do odszyfrowania zawartości (ponieważ mają relację zaufania z dostawcą SAML), a niektóre nie . Twierdzenia SAML mogą być przechowywane w pamięci podręcznej lub w bazie danych, więc naprawdę nie wiesz, kto będzie je przeglądał w przyszłości.
Jeśli odpowiedź SAML zawiera roszczenia i zapewnienia, które zawierają prywatne dane, a odbiorca odpowiedzi będzie trzymał asercję SAML przez czas nieokreślony lub przekazywanie asercji SAML przez pośredniczące podmioty, którym nie ufasz, to tak, asercje SAML powinny być zaszyfrowane, a odpowiedź podpisana, niezależnie od tego, czy jest przesyłana przez SSL, czy nie. Szyfrowanie ma na celu ochronę prywatności danych po ich dotarciu do drugiego końca rury SSL.
I drugim końcem rury SSL jest przeglądarka. Jest jedna rura od IdP do przeglądarki, a druga od przeglądarki do Usługodawcy. Jeśli asercja nie jest szyfrowana, asercja byłaby dostępna dla każdego użytkownika przeglądarki. Osoba atakująca może użyć niezaszyfrowanego identyfikatora nazwy w jakimś ataku na przyszłe dokumenty SAML i interakcje.
Ale czy osoba atakująca jest właścicielem przeglądarki, której już nie straciliśmy? – sbc
- 1. Podpisywanie i szyfrowanie poczty
- 2. Angularjs i SAML, początek
- 3. Alternatywa dla SSL - szyfrowanie "ręczne"?
- 4. Używanie LWP z SSL i certyfikatami klienta
- 5. Czy zaleca się stosowanie wzorca mediatora?
- 6. Częściowe szyfrowanie SSL w szynach
- 7. Podczas korzystania z interfejsów API RESTful, kiedy zaleca się używanie RestSharp i HttpClient?
- 8. Certyfikat podpisu SAML - jaki typ certyfikatu SSL?
- 9. szyfrowanie i odszyfrowywanie md5
- 10. Dlaczego zaleca się unikać .innerHTML?
- 11. Czy można skonfigurować protokoły SSL i szyfrowanie witryny Azure w sieci Web
- 12. Używanie SSL w Haskell
- 13. Szyny - Używanie omniauth-saml z wieloma IDP
- 14. ASP.Net MVC i szyfrowanie WebAPI
- 15. Szyfrowanie PHP i deszyfrowanie VB.net
- 16. SSL 256-bitowe szyfrowanie - na stronie Azure
- 17. django, python i szyfrowanie łącza
- 18. jQuery ajax i SSL?
- 19. Selenium i HTTPS/SSL
- 20. Czy zaleca się pułapkę SIGPIPE w skrypcie Bash?
- 21. Podpisywanie aplikacji Visual Studio za pomocą certyfikatu SSL LetsEncrypt.org
- 22. Bezpieczeństwo i uwierzytelnianie: SSL vs SASL
- 23. SSL i Diffie-Hellman
- 24. Dropwizard i SSL
- 25. SSL i SocketChannel
- 26. Certyfikaty WebView i SSL
- 27. Poświadczenia API AWS z OneLogin SAML i MFA
- 28. Żądania protokołu Python SSL i zaszyfruj certyfikaty
- 29. Bezpieczne szyfrowanie keypair w Delphi i PHP?
- 30. zaleca konfigurację Nginx dla meteor
"Szyfrowanie polega na ochronie prywatności danych po ich dostarczeniu na drugim końcu rury SSL." To mi wyjaśniło. Dziękuję Ci! – BernardMarx