パーサーの差異を利用したSAML SSO認証回避技術

Hacker Newsのコメント

• GitHubのSAML実装は役に立たない

  • ユーザーが自分のアカウントを企業に持ち込めるというアイデアは、サイト自体ではある程度機能するが、アプリでGitHubにログインした際に組織メンバーシップを読み取ることは防げない
  • SAMLセッションが必要なのは、ユーザーが取得したトークンを通じてデータを取得する場合だけ
  • SASTツールはほぼ常にアプリインスタンストークンを使い、GitHubアカウントを持つ誰にでもコードを見せてしまう
  • Tailscaleはこの問題を解決したが、Sonarcloudは秘密にしてほしいと求め、GitHubは数週間後にこの挙動は想定どおりだと返答した
  • セキュリティバグを報告しても感謝されない仕事だ

• 最近SAMLを実装しなければならなかったが、この見出しはまったく驚きではない

  • SAML仕様そのものは合理的だが、XML署名とXML正規化に基づいているため非常に複雑
  • 委員会だけがこのような矛盾したアイデアを組み合わせられる

• SAML（より広くはXML-DSIG）は、一般的に使われている中で最悪のセキュリティプロトコル

  • OAuthへ移行するために必要なあらゆる措置を取るべき
  • 新しい製品を市場に出すときに、これに依存することはない
  • 実用的な形式検証に大きな突破口がない限り、DSIGの脆弱性が最後でも最悪でもないだろう

• REXMLを使うべきではない

  • 不正なXMLでも平気でパースしてしまい、無限に問題を引き起こす
  • 正規表現でXMLをパースするのはアンチパターン
  • プロジェクトがNokogiriを使ったのは性能のためではなく、正確性のため

• 素晴らしい記事

  • ahacker1のSAML実装のセキュリティ作業に感謝
  • WorkOSがahacker1との協業について記事を書いている

• GitLabで脆弱性が発見され、セキュリティチームに通知

  • GitLabはこれを修正した

• Latacoraの2019年の記事、JSONオブジェクトの署名方法に関するもの

  • ツリーをネストして署名するのは難しい
  • メッセージを生の文字列として保持して署名するほうが簡単

• 署名があるべき場所を探すほうが単純、という結論

  • 想定外の場所にある署名を探すような汎用XPathは使うべきではない

• ブログ記事で脆弱性を説明しつつ、関連するパーサ差異を省略するのは腹立たしい

  • 物語の導入を書いてクライマックスを省くようなもの

• XML署名の技術的な詳細を初めて読んだが、頭がくらくらする

  • SAMLの代わりにlibsodiumの公開鍵認証暗号 crypto_box を使わない非レガシーな理由があるのか気になる
  • libsodiumの crypto_box とGolangの x/crypto/nacl/box を使う場合、パーサ差異の非理論的なリスクがあるのか気になる