Bug #89371: When using lasso as IDP, missing signature in redirect binding leads to a confusing error message - Lasso - Redmine Entr’ouvert

Bug #89371

When using lasso as IDP, missing signature in redirect binding leads to a confusing error message

Ajouté par Maxime Besson il y a 19 jours. Mis à jour il y a 14 jours.

Statut:

Résolu (à déployer)

Priorité:

Normal

Assigné à:

Benjamin Dauvergne

Catégorie:

-

Version cible:

-

Début:

10 avril 2024

Echéance:

% réalisé:

0%

Temps estimé:

Patch proposed:

Non

Planning:

Non

Description

I use Lasso in an IDP implementation (LemonLDAP::NG), and some SP are sometimes incorrectly configured to omit signatures.

When that happens, lasso_login_process_authn_request_msg returns LASSO_DS_ERROR_INVALID_SIGALG (Invalid signature algorithm) which is confusing: our users generally try to change signature algorithms and don't realize that the signature is just not there at all.

In my humble opinion, Lasso should return LASSO_DS_ERROR_SIGNATURE_NOT_FOUND (Signature element not found) in this situation.

The code that causes this is https://dev.entrouvert.org/projects/lasso/repository/33/revisions/main/entry/lasso/xml/tools.c#L1031

I think the missing "Signature" parameter should be checked before the missing "SigAlg" parameter, so that if both are missing, "Signature element not found" is returned to the user as a hint that the signature is missing, and not just using the wrong algorithm.

When using POST binding, this issue is not present: "Signature element not found" is returned when the signature is missing.

Trivial patch attached

Fichiers

missing-sig.diff (594 octets) missing-sig.diff

Maxime Besson, 10 avril 2024 18:30

Révisions associées

Révision fe27e52d (diff)
Ajouté par Benjamin Dauvergne il y a 14 jours

misc: check for signature parameter before sigalg (#89371)

Historique

#1

Mis à jour par Benjamin Dauvergne il y a 19 jours

Assigné à mis à Benjamin Dauvergne

#2

Mis à jour par Robot Gitea il y a 19 jours

Statut changé de Nouveau à Solution proposée

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/lasso/pulls/13
Titre : misc: check for signature parameter before sigalg (#89371)
Modifications : https://git.entrouvert.org/entrouvert/lasso/pulls/13/files

#3

Mis à jour par Robot Gitea il y a 18 jours

Statut changé de Solution proposée à Solution validée

Thomas NOËL (tnoel) a approuvé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/lasso/pulls/13

#4

Mis à jour par Robot Gitea il y a 14 jours

Statut changé de Solution validée à Solution proposée

Benjamin Dauvergne (bdauvergne) a demandé une relecture de Yann Weber (yweber) sur une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/lasso/pulls/13

#5

Mis à jour par Robot Gitea il y a 14 jours

Statut changé de Solution proposée à Solution validée

Yann Weber (yweber) a approuvé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/lasso/pulls/13

#6

Mis à jour par Robot Gitea il y a 14 jours

Statut changé de Solution validée à Résolu (à déployer)

Benjamin Dauvergne (bdauvergne) a mergé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/lasso/pulls/13
Titre : misc: check for signature parameter before sigalg (#89371)
Modifications : https://git.entrouvert.org/entrouvert/lasso/pulls/13/files

Formats disponibles : Atom PDF