Shibboleth SP:n 2.5 version yhteydessä on tullut ominaisuus, josta Haka-operaattori joulun läheisyyden kunniaksi haluaa muistuttaa.
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions
Oletuksena Shibboleth SP mahdollistaa uudellenohjauksien tekemisen esim. Logout-initiatorilla. SP:n logout endpointille annetaan http-query -parametrinä paluuarvo, jonne käyttäjän selain ohjataa logout-tapahtuman jälkeen. Uudelleenohjaus ei toimi Single Logoutin yhteydessä, mutta jos SP on määritelty tekemään vain paikallinen logout, uloskirjautumisen jälkeen käyttäjä ohjataan logout-linkissä määriteltyyn osoitteeseen. Osoite voi olla palvelun oman domainin ulkopuolella. Tämä saattaa tarjota pahantahtoiselle hyökkääjälle mahdollisuuden erehdyttää käyttäjiä nk. phishing-hyökkäyksellä.
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
Sen varmistamiseksi, että esimerkiksi joulupukki ei päädy väärille reiteille, Haka-operaattori suosittaa, että palvelujen ylläpitäjät tarkistavat SP:nsä konfiguraation ja määrittävät shibboleth2.xml -tiedostoon esimerkiksi <Sessions> -konfiguraatioelementtiin redirectLimit="exact". Näin saadaan estettyä uudelleenohjaukset muualle, kuin palvelun omaan domain-osoitteeseen. Esimerkiksi seuraalla tavalla muotoiltu linkki ohjautuu virheilmoitukseen, jos palvelu on oikein määritetty:
https://testsp.funet.fi/Shibboleth.sso/Logout?return=https://www.csc.fi/fi/joulutervehdys2016
Haka-operointi haluaa samalla toivottaa myös erittäin hyvää joulua ja onnea uudelle vuodelle. Haka-helpdesk päivystää työpäivinä myös joulun aikaan tutuissa yhteystiedoissa. Seuraavan linkin pitäisi ohjata suoraan CSC:n joulutervehdykseen ilman virheilmoituksia:
1 Comment
Anonymous
Ho, ho, ho!