为什么我的两个 Web 应用程序之间使用带查询参数的重定向或自动表单发布交换的数据无法被每个 Web 应用程序信任,即使使用 HTTPS? 笔记: 我理解使用查询参数进行数据交换具有固有的安全性CSRF 等风险、通过浏览器历史记录和访问日志泄露数据, 和auto-form-post 存在固有的 CSRF 安全风险。不过,这不是我们讨论的重点。我们假设我们已经缓解了 CSRF。现在的问题是,“为什么每个 Web 应用程序都不能信任交换的数据,即使使用 HTTPS?” 用例: 考虑运行在https://one.abc.com和https://two.xyz.co...
%20%E5%AE%8C%E6%88%90%E5%90%97%EF%BC%9F.png)
我有权访问我雇主云中 MinIO 部署中的个人存储桶 - 我可以通过存储桶的内置文件浏览器轻松通过 Firefox 访问它(通过我雇主的 IAM 页面进行浏览器内 OpenID 身份验证后),但我无法通过 rclone 复制访问权限。 在 rclone 文档中,我找不到有关如何使用 OpenID Connect 代理(oidc)来验证对 S3 兼容实例(我相信 MinIO 是这样的,不是吗?)的访问的说明(并且我倾向于认为它目前不受支持) - 它似乎可用于 WebDAV,而 S3 实例需要 .conf 文件或某些我找不到如何设置的环境变量中的明确访问和密钥。...
我有一个在 AWS EC2 中运行的 GitLab 自托管实例。其关联的安全组阻止了除少数单个 IP 地址之外的所有传入外部流量。 为了自动将代码从 GitLab 部署到单独帐户中的 AWS S3 存储桶,我创建了一个身份提供者在该单独帐户的 IAM 控制台中按照这篇文章中描述的确切流程进行。 如果我允许世界访问我的 EC2 实例安全组中的端口 443,那么一切都会按预期进行。不幸的是,这不是我可以永久采取的选择。我可以添加 AWS 似乎正在发出请求的 CIDR 块,但这似乎不可持续,因为 CIDR 块可能随时更改。 你知道有什么方法可以让我继续阻止所有传入...
我正在尝试将我们自行管理的 GitLab 15.9.3-ee 实例与 Azure AD 集成。使用 Azure AD 作为 GitLab 中 SSO 的 IdP,我一直在使用此处的文档: https://docs.gitlab.com/ee/administration/auth/oidc.html https://docs.gitlab.com/ee/integration/omniauth.html https://docs.gitlab.com/ee/integration/azure.html 设置 OmniAuth 以使用 OpenIdConnec...
我有 2 个 prometheus,都通过 oauth2-proxy 进行前向身份验证,它们在单个 keycloak 中具有相同的客户端凭据。我希望一个 prometheus 联合另一个。这是我在 prometheus.yml 中用于身份验证的配置片段 oauth2: client_id: "oauth-proxy" client_secret: "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX" token_url: "https://keycloak.mydomain.tld/realms/mast...