0
이미 SSL (https)을 통해 통신하고있는 경우 어설 션 수준 암호화 (및 특성 수준 암호화)를 구현할 수 있습니까?SAML에서 이미 SSL을 통해 통신하는 경우 어설 션 수준 암호화가 필요합니까?
A
답변
2
브라우저 프로필을 사용하면 SP와 IdP가 사용자 브라우저를 통해 메시지를 교환하므로 SSL만으로는 모든 경우에 man-in-the-middle을 차단하지 못합니다. 예를 들어 사용자가 보안되지 않은 Wi-Fi를 사용하고 악의있는 사용자가 트래픽을 가로 채고 CA에서 발급 한 인증서에 대해 자체 서명 된 SSL 인증서를 스와핑하는 경우를 예로들 수 있습니다. 사용자가 경고를 클릭하면 전송 수준의 보안이 무효화되고 기밀성이 침해 될 수 있습니다. 반면에 어설 션의 민감한 부분이 메시지 수준 암호화를 통해 보호되는 경우 위의 시나리오에서 man-in-the-middle은 사용자의 판단이 좋지 않아도 메시지를 읽을 수 없으며 기밀성이 보장됩니다.
2
다릅니다. 어설 션 내의 데이터는 얼마나 민감합니까? 일반적으로 실제 사용자 데이터가 중요하거나 기밀로 간주되는 경우 메시지 또는 특성 수준의 암호화가 표시됩니다. 이론상 SAMLResponse가 암호화되어 있지 않으면 누군가 (브라우저 플러그인)가 내용을 검사 할 수 있습니다. 따라서 변조를 방지하기 위해 디지털 서명이되어 있지만 데이터가 누출 될 수 있습니다.