Ý tưởng cho phép người dùng mang tài khoản của mình vào doanh nghiệp hoạt động ở mức nào đó trên chính trang web, nhưng không ngăn được việc đọc tư cách thành viên tổ chức khi ứng dụng đăng nhập vào GitHub
Phiên SAML chỉ cần thiết khi dữ liệu được lấy thông qua token mà người dùng nhận được
Các công cụ SAST gần như luôn dùng token của phiên bản ứng dụng và hiển thị mã nguồn cho bất kỳ ai có tài khoản GitHub
Tailscale đã khắc phục vấn đề này, nhưng Sonarcloud yêu cầu giữ bí mật, còn GitHub sau vài tuần trả lời rằng hành vi này là điều đã được dự liệu
Báo cáo lỗi bảo mật là công việc chẳng mấy được cảm ơn
Gần đây tôi phải triển khai SAML, và tiêu đề này hoàn toàn không làm tôi ngạc nhiên
Bản thân đặc tả SAML là hợp lý, nhưng nó dựa trên chữ ký XML và chuẩn hóa XML nên cực kỳ phức tạp
Chỉ có ủy ban mới có thể kết hợp những ý tưởng mâu thuẫn như vậy
SAML (rộng hơn là XML-DSIG) nhìn chung là giao thức bảo mật tệ nhất vẫn còn được dùng phổ biến
Cần làm mọi thứ cần thiết để chuyển sang OAuth
Tôi sẽ không phụ thuộc vào nó khi đưa sản phẩm mới ra thị trường
Nếu không có một bước đột phá thực sự trong kiểm chứng hình thức, các lỗ hổng DSIG sẽ không phải là cái cuối cùng hay tệ nhất
Không nên dùng REXML
Nó sẵn sàng phân tích cú pháp XML sai và gây ra vô số vấn đề
Dùng biểu thức chính quy để phân tích XML là một ví dụ sai lầm
Các dự án dùng Nokogiri không phải vì hiệu năng, mà vì độ chính xác
Bài viết rất hay
Cảm ơn ahacker1 vì công việc bảo mật cho triển khai SAML
WorkOS đã viết một bài về việc cộng tác với ahacker1
Một lỗ hổng đã được phát hiện trong GitLab và nhóm bảo mật đã được thông báo
GitLab đã sửa lỗi này
Bài viết năm 2019 của Latacora, về cách ký đối tượng JSON
Việc lồng cây và ký chúng là điều khó khăn
Giữ thông điệp dưới dạng chuỗi thô và ký nó thì dễ hơn
Kết luận đơn giản hơn là tìm đúng vị trí mà chữ ký phải nằm
Không nên dùng XPath tổng quát để tìm chữ ký ở những vị trí không lường trước
Thật khó chịu khi một bài blog giải thích lỗ hổng nhưng lại bỏ qua các khác biệt parser liên quan
Giống như viết phần mở đầu của câu chuyện rồi bỏ mất cao trào
Đây là lần đầu tôi đọc các chi tiết kỹ thuật của chữ ký XML, và tôi thấy choáng váng
Tôi tự hỏi liệu có lý do phi di sản nào để dùng xác thực mã hóa khóa công khai crypto_box của libsodium thay cho SAML hay không
Tôi cũng tự hỏi liệu có rủi ro không chỉ mang tính lý thuyết về khác biệt parser khi dùng crypto_box của libsodium và x/crypto/nacl/box của Golang hay không
1 bình luận
Ý kiến trên Hacker News
Triển khai SAML của GitHub là vô dụng
Gần đây tôi phải triển khai SAML, và tiêu đề này hoàn toàn không làm tôi ngạc nhiên
SAML (rộng hơn là XML-DSIG) nhìn chung là giao thức bảo mật tệ nhất vẫn còn được dùng phổ biến
Không nên dùng REXML
Bài viết rất hay
Một lỗ hổng đã được phát hiện trong GitLab và nhóm bảo mật đã được thông báo
Bài viết năm 2019 của Latacora, về cách ký đối tượng JSON
Kết luận đơn giản hơn là tìm đúng vị trí mà chữ ký phải nằm
Thật khó chịu khi một bài blog giải thích lỗ hổng nhưng lại bỏ qua các khác biệt parser liên quan
Đây là lần đầu tôi đọc các chi tiết kỹ thuật của chữ ký XML, và tôi thấy choáng váng
crypto_boxcủa libsodium thay cho SAML hay khôngcrypto_boxcủa libsodium vàx/crypto/nacl/boxcủa Golang hay không