Ми захоплюємось розробкою застосунків, але іноді не звертаємо увагу на критичні аспекти безпеки, особливо в сфері аутентифікації. Ці прогалини можуть призвести до серйозних наслідків. У цієї доповіді ми дослідимо вразливості, що виникають при слабких методах аутентифікації, особливо у large-scale застосунках. Ми підкреслимо важливість аутентифікації з Single Sign-On (SSO) у сучасній розробці, пояснимо, як компоненти SSO взаємодіють між собою, включаючи Identity Providers (IdP) та Service Providers (SP). Ми порівняємо стандарти, такі як SAML, OpenID та OAuth, і продемонструємо практичну реалізацію на .NET з використанням сторонніх рішень для інтеграції. Розуміння форматів запитів/відповідей SAML та інструментів для їх декодування буде ключовим аспектом. Ми також обговоримо реальні помилки SAML конфігурації та вразливості і поділимося найкращими практиками для безпечної конфігурації SSO, користуючись довіреними джерелами вразливостей, такими як OWASP.
Олег Олюшкевич
(Senior full-stack developer at Creatio),