1 260
szerkesztés
Módosítások
a
→Request headerek megbízhatósága, lazy session biztonság: typo
https://dev.aai.niif.hu/Shibboleth.sso/WAYF/NIIF-WAYF?target=https://dev.aai.niif.hu/drupal/shiblazy.php
=== Request headerek megbízhatósága, lazy session biztonság ===
A Shibboleth modul gondoskodik arról, hogy kiszűrje a '''HTTP_SHIB_''' kezdetű header elemeket, mivel azokat csak ez a modul állíthatja be. Bárki más is állítaná be, az visszaélést jelentene (header spoofing). A header spoofing elleni védelem lazy session esetén is működik, függetlenül attól, hogy létrejött-e a Shibboleth session. Ez azt jelenti, hogy nem lehet létező "sessiont hazudni", mivel a '''HTTP_SHIB_IDENTITY_PROVIDER''' header védett.
Természetesen a spoofing védelem csak akkor működik, ha
