¿Tengo que validar Saml2 InResponseTo?

3

Estoy implementando un proveedor de servicios SAML2 que se ejecutará en un sitio web público. La funcionalidad de inicio de sesión está disponible públicamente, por lo que cualquier persona puede obtener un AuthnRequest desde mi sitio.

Cuando recibo una respuesta del Idp, ¿tengo que validar el campo InResponseTo para asegurarme de que la respuesta es a un AuthnRequest que he emitido o puedo ignorarlo?

No entiendo cómo agregaría seguridad adicional cuando ya estoy validando la firma de la respuesta y tengo una protección de repetición permitiendo solo que cada ID de aserción se use una vez dentro del tiempo de validez de la aserción (como especificado por la condición).

    
pregunta Anders Abel 13.09.2013 - 10:34
fuente

2 respuestas

0

Se explica en Consideraciones de seguridad y privacidad para el marcado de aserción de seguridad de OASIS Idioma (SAML) V2.0 sección 6.1.3 Inserción de mensajes.

Es principalmente un método para bloquear solicitudes fabricadas insertadas en la comunicación. Como complemento a la firma y / o SSL. No está resolviendo un problema de seguridad separado, pero es una defensa en profundidad.

Mi interpretación es que verificar InResponseTo es más barato que validar la firma y una forma más rápida de deshacerse de los mensajes no válidos para evitar ataques de DOS.

    
respondido por el Albin Sunnanbo 06.04.2014 - 20:52
fuente
1

Sí, de acuerdo con la especificación SAML, esto debe ser validado.

No estoy 100% seguro de la razón o esta. Pero solo pensar en voz alta. Con el límite a tiempo y la firma, aún podría hacer una repetición del mensaje dentro del tiempo de validez.

    
respondido por el Stefan Rasmusson 13.09.2013 - 12:28
fuente

Lea otras preguntas en las etiquetas