すでに SSL (https) 経由で通信している場合、アサーション レベルの暗号化 (および属性レベルの暗号化) を実装する意味はありますか?
2 に答える
2
SP と IdP がユーザーのブラウザーを介してメッセージを交換するブラウザー プロファイルを使用している場合、SSL だけではすべての場合において中間者から保護されません。たとえば、ユーザーがセキュリティで保護されていない Wi-Fi を使用していて、悪意のあるユーザーがトラフィックを傍受し、自己署名 SSL 証明書を CA 発行の SSL 証明書と交換するシナリオを考えてみましょう。ユーザーが警告をクリックすると、トランスポート レベルのセキュリティが無効になり、機密性が侵害される可能性があります。一方、アサーションの機密部分がメッセージ レベルの暗号化によって保護されている場合、上記のシナリオの中間者は、ユーザーの判断力が乏しいにもかかわらずメッセージを読み取ることができず、機密性が保証されます。
于 2014-10-27T00:00:20.663 に答える
2
場合によります。アサーション内のデータの機密性はどの程度ですか? 通常、実際のユーザー データが機密または機密であると見なされる場合、メッセージまたは属性レベルの暗号化が表示されます。SAMLResponse が暗号化されていない場合、理論上は誰か (ブラウザ プラグイン) がその内容を検査できます。そのため、改ざんを防ぐためにデジタル署名されていますが、データが漏洩する可能性があります。
于 2014-10-22T14:37:12.400 に答える