Preguntas con etiqueta 'sso'

preguntas con etiqueta
2
respuestas

Modelos de inicio de sesión único para un entorno mixto

No estoy completamente seguro de si este es el sitio adecuado para esto, pero lo intentaré. Básicamente, estoy buscando diferentes maneras de configurar un servicio de inicio de sesión único para un entorno corporativo existente. Dentro de es...
hecha 08.01.2012 - 16:51
3
respuestas

Necesita ayuda para entender el mecanismo de autenticación de Windows

Incluso si hago cumplir HTTPS y uso tokens anti-falsificación, parece que la autenticación de Windows podría ser intrínsecamente insegura porque no requiere que el usuario pase explícitamente las credenciales del cliente al servidor. En entor...
hecha 23.09.2015 - 13:41
2
respuestas

¿El MD5 es adecuado para el inicio de sesión único?

Estamos utilizando una aplicación que ofrece un único signo a sus sistemas que luego se incrusta como un iframe (es decir, la URL está visible en la fuente de la página) La seguridad de SSO proviene del uso de MD5 para hacer hash de varios co...
hecha 07.10.2016 - 13:59
1
respuesta

¿Es obligatoria la validación de firmas si se envían aserciones cifradas a través de HTTP en SAML 2.0?

Estamos utilizando el perfil SSO del navegador web SAML (SAML 2.0) Tenemos un SP usando SAML2.0. Toda la comunicación entre IdP y SP se realiza a través de HTTP. Si AuthnResponse de IdP se envía a través de HTTP, ¿es obligatorio que el SP...
hecha 08.10.2018 - 18:36
1
respuesta

SSO: ¿Quién es el idp (proveedor de identidad) para Google Apps?

Si soy un usuario para diferentes aplicaciones de Google. Google Apps (gmail, google calender, juegos que inician sesión con una cuenta de correo electrónico de Google, etc.) son diferentes proveedores de servicios. ¿Quién será el proveedor de i...
hecha 27.02.2017 - 13:20
2
respuestas

¿Es seguro permitir HTTP para la URL del emisor de SAML 2.0?

He implementado SAML 2.0 usando la gema ruby-saml en mi aplicación Rails. En esta aplicación, los clientes pueden especificar su IDP SAML para su cuenta. Tengo un cliente que insiste en que requerir HTTPS para la URL del Emisor no hace nada por...
hecha 29.07.2016 - 21:05
1
respuesta

¿Cuáles son las vulnerabilidades potenciales en un enfoque de SSO basado en SAML?

¿Qué nivel de acceso necesitaría obtener un atacante para comprometer un sistema SSO basado en SAML? ¿Sería suficiente robar la clave privada utilizada para firmar solicitudes SAML? ¿Qué pasaría si un atacante tuviera una raíz en el servidor...
hecha 28.03.2012 - 18:02
1
respuesta

¿El token web JSON está aún más protegido en OpenID, y cómo?

He leído los detalles del token web puro de JSON (JWT) y encontré que está firmado (por ejemplo, por SHA256) pero no encriptado. Por lo tanto, el ataque puede leer la información confidencial decodificando el encabezado y la carga útil. No es...
hecha 22.02.2017 - 13:38
1
respuesta

¿Algún protocolo / analizador de tráfico / protocolo de inicio de sesión único (SSO) práctico? [cerrado]

Quiero analizar el protocolo / tráfico SSO que se implementa en un entorno real, como un sitio web comercial. El desafío es que la mayoría de ellos son de caja negra. Escenario 1 . Leí varios artículos sobre el análisis de SSO. La mayoría de...
hecha 14.03.2017 - 06:23
1
respuesta

Enlaces de inicio de sesión instantáneos para usuarios de sitios de terceros confiables

Soy propietario de la aplicación web "A" y quiero trabajar con un servicio de terceros "X". El usuario "Alicia" tiene cuentas en ambas plataformas. La aplicación A conoce el ID de usuario de alice en X, pero a X no le importa que Alice esté en A...
hecha 21.07.2016 - 17:50