यूज़र अपने अकाउंट को किसी enterprise में ला सकता है, यह आइडिया साइट पर कुछ हद तक काम करता है, लेकिन जब कोई app GitHub से लॉग इन करता है तो यह organization membership पढ़े जाने से नहीं रोकता
SAML session केवल तब ज़रूरी होता है जब यूज़र द्वारा हासिल किए गए token के ज़रिए data fetch किया जाता है
SAST tools लगभग हमेशा app instance token का उपयोग करते हैं, और GitHub अकाउंट वाले किसी भी व्यक्ति को code दिखा देते हैं
Tailscale ने इस समस्या को हल कर लिया, लेकिन Sonarcloud ने इसे गुप्त रखने का अनुरोध किया, और GitHub ने कुछ हफ्तों बाद जवाब दिया कि यह behavior अपेक्षित था
security bug report करना एक ऐसा काम है जिसके लिए शायद ही कभी सराहना मिलती है
मुझे हाल ही में SAML implement करना पड़ा, और यह headline बिल्कुल भी चौंकाने वाली नहीं है
SAML spec अपने आप में तर्कसंगत है, लेकिन यह XML signatures और XML canonicalization पर आधारित होने के कारण बेहद जटिल है
केवल कोई committee ही ऐसे परस्पर-विरोधी ideas को जोड़ सकती है
SAML (और व्यापक रूप से XML-DSIG) आम तौर पर इस्तेमाल होने वाला सबसे खराब security protocol है
OAuth पर migrate करने के लिए जो भी करना पड़े, करना चाहिए
नया product market में लाते समय मैं इस पर निर्भर नहीं रहूंगा
जब तक practical formal verification में कोई breakthrough नहीं आता, DSIG vulnerabilities न तो आखिरी होंगी और न ही सबसे खराब
REXML का उपयोग नहीं करना चाहिए
यह गलत XML को भी खुशी-खुशी parse कर देता है और अनंत समस्याएँ पैदा करता है
regular expressions से XML parse करना एक गलत उदाहरण है
projects ने performance की वजह से Nokogiri नहीं चुना था, बल्कि correctness की वजह से चुना था
शानदार लेख है
ahacker1 के SAML implementation security work के लिए धन्यवाद
WorkOS ने ahacker1 के साथ सहयोग पर एक लेख लिखा
GitLab में vulnerability मिली थी और security team को बताया गया
GitLab ने इसे ठीक कर दिया
Latacora का 2019 का लेख, JSON object signing के तरीकों पर
tree को nest करके sign करना कठिन है
message को raw string के रूप में रखकर sign करना अधिक आसान है
यह निष्कर्ष अधिक सरल है कि signature कहाँ होना चाहिए, यह देखा जाए
ऐसे generic XPath का उपयोग नहीं करना चाहिए जो unexpected location में signature खोजता हो
जब कोई blog post vulnerability समझाए लेकिन उससे जुड़े parser differences को छोड़ दे, तो झुंझलाहट होती है
यह वैसा है जैसे कहानी की भूमिका लिखकर उसका चरम भाग छोड़ देना
मैंने पहली बार XML signatures की technical details पढ़ीं, और सिर चकरा गया
सोच रहा हूँ कि SAML की जगह libsodium की public-key authenticated encryption (crypto_box) का उपयोग न करने का कोई non-legacy कारण है क्या
यह भी सोच रहा हूँ कि libsodium के crypto_box और Golang के x/crypto/nacl/box का उपयोग करते समय parser differences का कोई non-theoretical जोखिम है या नहीं
1 टिप्पणियां
Hacker News राय
GitHub का SAML implementation बेकार है
मुझे हाल ही में SAML implement करना पड़ा, और यह headline बिल्कुल भी चौंकाने वाली नहीं है
SAML (और व्यापक रूप से XML-DSIG) आम तौर पर इस्तेमाल होने वाला सबसे खराब security protocol है
REXML का उपयोग नहीं करना चाहिए
शानदार लेख है
GitLab में vulnerability मिली थी और security team को बताया गया
Latacora का 2019 का लेख, JSON object signing के तरीकों पर
यह निष्कर्ष अधिक सरल है कि signature कहाँ होना चाहिए, यह देखा जाए
जब कोई blog post vulnerability समझाए लेकिन उससे जुड़े parser differences को छोड़ दे, तो झुंझलाहट होती है
मैंने पहली बार XML signatures की technical details पढ़ीं, और सिर चकरा गया
crypto_box) का उपयोग न करने का कोई non-legacy कारण है क्याcrypto_boxऔर Golang केx/crypto/nacl/boxका उपयोग करते समय parser differences का कोई non-theoretical जोखिम है या नहीं