Estamos utilizando una aplicación que ofrece un único signo a sus sistemas que luego se incrusta como un iframe (es decir, la URL está visible en la fuente de la página)
La seguridad de SSO proviene del uso de MD5 para hacer hash de varios componentes juntos y el hash resultante se usa en la URL.
Por ejemplo, hay una clave de servidor que se mezcla con la dirección de correo electrónico del usuario y la fecha actual, por lo que, asumiendo que la clave del servidor es ABCDEF, la fecha es 20161007125600 y el correo electrónico es [email protected]
Cuando se produce un hash, se crea un hash de 973897b9cdc4381ae4202a162d28052d y la URL del iframe es algo así como:
https://server.com?hash=973897b9cdc4381ae4202a162d28052d
Suponiendo puedo descifrar el hash y termino con:
[email protected]
Como todas las cadenas utilizan exactamente el mismo diseño, puedo dividir esto fácilmente en la dirección de correo electrónico, la fecha y la clave. Al hacerlo, ahora puedo crear un hash de [email protected] y pasar el MD5 de eso a la URL e iniciar sesión como [email protected]
¿Esto es "seguro"? ¿Estoy sobre analizando esto? Son una empresa bastante grande y consolidada, por lo que supongo que lo han probado ampliamente, pero soy tan reacio al MD5 que me ha hecho sentir un hormigueo y quiero saber si es algo de lo que deba preocuparme.