Shibboleth-konsortio on julkaissut tiedotteen ROBOT-hyökkäysmekanismin HTTP-liikenteen salaukseen kohdistuvien hyökkäysmekanismien vaikutuksista SAML-viestien vaihtoon. On löydetty haavoittuvuuksia, jotka mahdollistavat palvelimen salaisen avaimen urkkimisen tiettyjä heikkoja algoritmeja ja salaustoteutuksia käytettäessä [1]. Haka-operoinnin suositus on, että SAML-viestien salaamisessa ja allekirjoituksessa käytetään eri avainta, kuin palvelujen HTTP-liikenteen suojaamisessa.
...