En el trabajo, usamos un portal central que proporciona funcionalidad básica de SSO a otras aplicaciones. Además de verificar los datos de SSO enviados, todas nuestras aplicaciones internas existentes (utilizadas por el público) también verifican el encabezado de referencia para asegurarse de que el usuario realmente proviene de nuestro portal central. Sin embargo, acabamos de experimentar un problema en el que un cambio de código de JavaScript en el portal central hizo que Internet Explorer dejara de enviar el encabezado del remitente, lo que hizo que todas las aplicaciones que verifican ese encabezado se desplomaran.
Mi pregunta es si verificar el encabezado del remitente proporciona alguna mejora de seguridad en el mundo real con solo verificar la información básica de SSO (identificación de usuario cifrada contenida en una cookie). Si no es así, ¿hay alguna documentación / investigación / etc. que podría usar para demostrar esto a la gerencia?
También debo mencionar que, desafortunadamente, el portal central es una aplicación de terceros que no tenemos mucho control sobre ... por lo tanto, todo lo que tenemos para ayudar es la información básica de SSO en forma de una cookie cifrada y la información del encabezado del remitente. cosas seguras.