# Mythes sur la non-interactivité des Multiple Page Applications
par Mathieu Sanchez
Le développeur Tony Alaribe a écrit un article pour le site htmx.org pour en finir avec les mythes entourant les SPAs qui seraient forcément plus dynamiques et plus adaptées à la création d’applications.
L’auteur passe en revue les possibilités offertes par les services workers pour la mise en cache (y compris les requêtes POST !), les transitions de pages avec l’API View Transitions, les opérations sur le DOM qui sont bien assez rapides pour la plupart des usages (donc React / Svelte / votre librairie favorite n’est pas forcément nécessaire)…
Huit mythes sont ainsi expliqués avec pour chacun d’eux une solution simple à mettre en place !
Bref, un article à garder dans vos favoris !
# Vulnérabilités corrigées dans Keycloak 25
par Laurent Meunier
Courant septembre, deux nouvelles versions mineures de Keycloak (25.0.5 et 25.0.6) sont sorties coup sur coup. En plus des corrections de bugs habituelles, on retrouve également la correction de plusieurs vulnérabilités.
Keycloak 25.0.5
CVE-2024-7341 Session fixation in the SAML adapters adapter/saml
Une faille sur la gestion des cookies SAML qui peut conduire à la récupération de la session d’un utilisateur par un attaquant (session fixation). En pré-requis, l’attaquant doit déjà avoir une session valide, il faut donc qu’il ait accès à un compte sur Keycloak.
Ce pré-requis peut être bloquant pour l’attaquant dans le cas d’une maîtrise complète de la population des utilisateurs Keycloak (par exemple, via l’utilisation exclusive d’un annuaire d’entreprise).
Dans le cas d’un Keycloak autorisant la création de compte, un attaquant peut facilement obtenir une session et cette faille devient alors critique.
Keycloak 25.0.6
CVE-2024-8883 Vulnerable Redirect URI Validation Results in Open Redirect
Cette vulnérabilité est exploitable uniquement si un client Keycloak de type OpenID Connect autorise les URL http://localhost ou http://127.0.0.1 dans les « Valid redirect URIs ». Dans ce cas, une faille permet de rediriger un utilisateur vers n’importe quelle URL après authentification.
Dans un environnement de production, cette configuration a peu de sens et ne devrait pas être répandue. Il est toutefois conseillé de faire le tour de ses clients OIDC pour s’assurer de leur bonne configuration le temps de migrer vers cette nouvelle version de Keycloak.
CVE-2024-8698 Improper Verification of SAML Responses Leading to Privilege Escalation in Keycloak
Cette vulnérabilité concerne la vérification des signatures SAML et pourrait conduire Keycloak à accepter des signatures SAML non valides. Un attaquant pourrait utiliser cette faille pour créer des signatures SAML lui permettant l’usurpation d’identité ou l’escalade de ses privilèges.
Si la configuration de votre Keycloak embarque des clients de type SAML, il est conseillé de procéder à la mise à jour rapidement.
# FranceConnect v2 se précise
par Laurent Meunier
L’équipe de FranceConnect commence à communiquer au sujet de la Version 2 du service en ligne d’identification et d’authentification. Un premier webinar s’est tenu le 26 septembre dernier et un autre est prévu le 10 octobre prochain. C’était l’occasion pour l’équipe de FranceConnect de présenter FranceConnect v2 et les enjeux de la migration depuis la v1 vers la nouvelle plateforme.
Ce qu’il faut retenir :
- arrêt de la plateforme v1 en 2025, l’équipe FC préconise de migrer le plus tôt possible afin d’éviter le rush des migrations sur fin 2025
- les migrations sur la v2 concernent uniquement les utilisateurs de la v1, les utilisateurs de FranceConnect+ ne sont pas impactés par cette migration (FC+ utilise déjà la plateforme v2)
- la migration se fait en 5 étapes
- des changements techniques liés au passage à la v2 :
- les URL des endpoints OIDC changent
- ajout de paramètres obligatoires pour le endpoint “Authorize” (acr_value et prompt)
- suppression des scopes address et phone, qui ne renvoyaient déjà plus aucune information
- suppression du claim preferred_username (le nom d’usage) du scope identite_pivot (mais il est possible de demander le nouveau scope preferred_username pour obtenir à nouveau le nom d’usage)
- gestion des erreurs lors du retour des usagers vers la “redirect_uri” (redirection avec les paramètres correspondants aux erreurs, conformément aux spécifications OIDC)
- modification des algorithmes de signature (HS256 est remplacé par ES256 et RS256)
- signature de la réponse du endpoint “UserInfo”, la réponse est maintenant un JWT dont la signature devra être vérifiée (en v1, uniquement l’ID token est signé)
- déconnexion conforme aux spécifications OIDC (les paramètres id_token_hint, state et post_logout_redirect_uri sont obligatoires)
Tous les détails sur la migration v1 vers v2 et sur les nouveautés de la Version 2 sont disponibles dans la documentation de FranceConnect.
Et pour accompagner ces changements, l’extension Keycloak pour FranceConnect, maintenue par l’Insee, est maintenant compatible avec FC v2.
Pensez bien à lire le passage du README concernant les environnements FranceConnect. Si vous passez à FC v2, il faudra utiliser les environnements INTEGRATION_STANDARD_V2 et PRODUCTION_STANDARD_V2.
Laisser un commentaire