Gagasan agar pengguna bisa membawa akun mereka sendiri ke perusahaan cukup berfungsi di situs itu sendiri, tetapi tidak mencegah aplikasi yang login ke GitHub membaca keanggotaan organisasi
Sesi SAML hanya diperlukan ketika data diambil melalui token yang diperoleh pengguna
Alat SAST hampir selalu menggunakan token instance aplikasi, dan menampilkan kode kepada siapa pun yang memiliki akun GitHub
Tailscale menyelesaikan masalah ini, tetapi Sonarcloud meminta agar hal itu dirahasiakan, dan GitHub menjawab beberapa minggu kemudian bahwa perilaku ini memang sudah diharapkan
Melaporkan bug keamanan adalah pekerjaan yang tidak dihargai
Baru-baru ini harus mengimplementasikan SAML, dan judul ini sama sekali tidak mengejutkan
Spesifikasi SAML sendiri masuk akal, tetapi karena berbasis pada tanda tangan XML dan kanonisasi XML, hal itu menjadi sangat kompleks
Hanya komite yang bisa menggabungkan ide-ide yang saling bertentangan seperti ini
SAML (lebih luas lagi XML-DSIG) adalah protokol keamanan terburuk yang masih umum digunakan
Semua langkah yang diperlukan harus diambil untuk beralih ke OAuth
Tidak akan bergantung padanya saat meluncurkan produk baru ke pasar
Tanpa terobosan nyata dalam verifikasi formal, kerentanan DSIG ini bukan yang terakhir maupun yang terburuk
Jangan gunakan REXML
Ia dengan senang hati mem-parsing XML yang salah dan menimbulkan masalah tanpa batas
Mem-parsing XML dengan regular expression adalah contoh praktik yang buruk
Proyek-proyek tidak menggunakan Nokogiri karena performa, melainkan karena ketepatan
Tulisan yang luar biasa
Terima kasih kepada ahacker1 atas pekerjaan keamanan pada implementasi SAML
WorkOS menulis artikel tentang kolaborasinya dengan ahacker1
Kerentanan ditemukan di GitLab dan diberitahukan kepada tim keamanan
GitLab telah memperbaikinya
Artikel Latacora tahun 2019 tentang cara menandatangani objek JSON
Menumpuk dan menandatangani pohon itu sulit
Lebih mudah menyimpan pesan sebagai string mentah lalu menandatanganinya
Kesimpulan yang lebih sederhana adalah mencari lokasi yang seharusnya berisi tanda tangan
Jangan gunakan XPath umum yang mencari tanda tangan di lokasi tak terduga
Menjelaskan kerentanan di posting blog sambil menghilangkan perbedaan parser yang terkait itu menjengkelkan
Itu seperti menulis pembuka cerita lalu menghilangkan klimaksnya
Baru pertama kali membaca detail teknis tanda tangan XML, dan kepala terasa pusing
Bertanya-tanya apakah ada alasan non-legacy untuk menggunakan autentikasi enkripsi kunci publik libsodium (crypto_box) alih-alih SAML
Bertanya-tanya apakah ada risiko nonteoretis dari perbedaan parser saat menggunakan crypto_box milik libsodium dan x/crypto/nacl/box milik Golang
1 komentar
Komentar Hacker News
Implementasi SAML GitHub tidak berguna
Baru-baru ini harus mengimplementasikan SAML, dan judul ini sama sekali tidak mengejutkan
SAML (lebih luas lagi XML-DSIG) adalah protokol keamanan terburuk yang masih umum digunakan
Jangan gunakan REXML
Tulisan yang luar biasa
Kerentanan ditemukan di GitLab dan diberitahukan kepada tim keamanan
Artikel Latacora tahun 2019 tentang cara menandatangani objek JSON
Kesimpulan yang lebih sederhana adalah mencari lokasi yang seharusnya berisi tanda tangan
Menjelaskan kerentanan di posting blog sambil menghilangkan perbedaan parser yang terkait itu menjengkelkan
Baru pertama kali membaca detail teknis tanda tangan XML, dan kepala terasa pusing
crypto_box) alih-alih SAMLcrypto_boxmilik libsodium danx/crypto/nacl/boxmilik Golang