¿Alguien sabe el caso de ataque / negocio que justificaría el fallo del servicio SSO en un parámetro de consulta aleatoria en lugar de simplemente ignorarlo? Realmente curioso acerca de eso, no puedo resolverlo por mi cuenta.
Si el caso no está claro: enviar una solicitud de autenticación al punto final de SSO adecuado y agregar un parámetro de consulta (¡no un valor!) que el servicio no reconoce, da como resultado una respuesta de error de http. Para mí, ignorar un parámetro de este tipo sería incluso más seguro porque el atacante no podría identificar el conjunto exacto de parámetros utilizados por el servicio de autenticación.
Pero tal vez me esté perdiendo algo. No soy un experto en seguridad. Cualquier sugerencia y pensamiento apreciado.