Buonasera,
chiamando il metodo VerifyAllSignatures la signature dell’Assertion risulta sempre non valida utilizzando il validator. Potrei non aver impostato qualche parametro correttamente?
Grazie
Buonasera @Davide_Mazzucchelli ,
mi sembra di capire dal titolo che si fa riferimento ai test del Validator SAML (spid-saml-check)
- SAML Response Signature Verification Bypass - Assertion non firmata
- SAML Response Signature Verification Bypass - Assertion corrotta
Tali test sono stati implementati a seguito delle vulnerabilità segnalate dal CERT AgID
e consentono di verificare il comportamento del SP alla ricezione di una response generata opportunamente allo scopo di sfruttare le vulnerabilità individuate al fine di superare la verifica della firma da parte del SP.
Alla ricezione di tali response, un SP non affetto dalle vulnerabilità, non deve consentire l’accesso rilevando che le response non sono firmate correttamente.
Se pertanto, ottieni in corrispondenza di tali response, che non è possibile verificare la firma, il comportamento è corretto ed è sufficiente mostare un messaggio di errore generico che segnala all’utente che si sono verificati errori durante la ricezione della response SAML.
Cordiali saluti,
Michele D’Amico