Kullanıcının kendi hesabını kuruma getirebilmesi fikri, sitenin kendisinde bir ölçüde çalışıyor, ancak uygulamada GitHub ile oturum açıldığında organizasyon üyeliğinin okunmasını engellemiyor
SAML oturumu yalnızca kullanıcının elde ettiği token üzerinden veri çekildiğinde gerekli
SAST araçları neredeyse her zaman uygulama örneği token'larını kullanıyor ve GitHub hesabı olan herkese kodu gösteriyor
Tailscale bu sorunu çözdü, ancak Sonarcloud bunun gizli tutulmasını istedi ve GitHub birkaç hafta sonra bu davranışın beklendiğini söyledi
Güvenlik hatası bildirmek, takdir edilmeyen bir iş
Yakın zamanda SAML uygulamak zorunda kaldım ve bu başlık beni hiç şaşırtmadı
SAML spesifikasyonunun kendisi makul, ancak XML imzaları ve XML canonicalization üzerine kurulu olduğu için son derece karmaşık
Böyle çelişkili fikirleri ancak bir komite bir araya getirebilir
SAML (daha geniş anlamda XML-DSIG), yaygın kullanımda olan en kötü güvenlik protokolü
OAuth'a geçmek için gereken her adım atılmalı
Pazara yeni bir ürün çıkarırken buna bağımlı olmam
Gerçek anlamda biçimsel doğrulamada bir atılım olmazsa, DSIG açıkları ne son ne de en kötüsü olacak
REXML kullanılmamalı
Hatalı XML'i memnuniyetle parse edip sonsuz sorun çıkarıyor
XML'i düzenli ifadelerle parse etmek baştan yanlış bir örnek
Projeler performans için değil, doğruluk için Nokogiri kullandı
Harika bir yazı
ahacker1'in SAML uygulama güvenliği çalışması için teşekkürler
WorkOS, ahacker1 ile iş birliği hakkında bir yazı yayımladı
GitLab'da bir açık bulundu ve güvenlik ekibine bildirildi
GitLab bunu düzeltti
Latacora'nın 2019 tarihli yazısı, JSON nesnelerinin nasıl imzalanacağıyla ilgili
Ağaçları iç içe geçirmek ve imzalamak zor
Mesajları ham string olarak tutup imzalamak daha kolay
İmzanın olması gereken yeri bulmak daha basit bir sonuç
Beklenmedik yerlerde imza arayan genel XPath kullanılmamalı
Blog gönderisinde açığı açıklayıp ilgili parser farklarını atlamak sinir bozucu
Hikâyenin girişini yazıp doruk noktasını atlamak gibi
XML imzalarının teknik ayrıntılarını ilk kez okudum ve başım döndü
SAML yerine libsodium'un açık anahtarlı kimlik doğrulamalı şifrelemesini (crypto_box) kullanmamak için miras dışı bir neden olup olmadığını merak ediyorum
libsodium'un crypto_box'ı ve Golang'in x/crypto/nacl/box'ı kullanıldığında parser farklarının teorik olmayan bir riski olup olmadığını merak ediyorum
1 yorum
Hacker News görüşleri
GitHub'un SAML uygulaması işe yaramaz
Yakın zamanda SAML uygulamak zorunda kaldım ve bu başlık beni hiç şaşırtmadı
SAML (daha geniş anlamda XML-DSIG), yaygın kullanımda olan en kötü güvenlik protokolü
REXML kullanılmamalı
Harika bir yazı
GitLab'da bir açık bulundu ve güvenlik ekibine bildirildi
Latacora'nın 2019 tarihli yazısı, JSON nesnelerinin nasıl imzalanacağıyla ilgili
İmzanın olması gereken yeri bulmak daha basit bir sonuç
Blog gönderisinde açığı açıklayıp ilgili parser farklarını atlamak sinir bozucu
XML imzalarının teknik ayrıntılarını ilk kez okudum ve başım döndü
crypto_box) kullanmamak için miras dışı bir neden olup olmadığını merak ediyorumcrypto_box'ı ve Golang'inx/crypto/nacl/box'ı kullanıldığında parser farklarının teorik olmayan bir riski olup olmadığını merak ediyorum