Fix #325 Allow XML signatures that include both X509Data and KeyValue elements #327
Conversation
|
Ottimo come sempre @lscorcia! @bfabio buona PR, che ne pensi? |
|
Grazie @peppelinux , pipeline ok ora. |
|
La patch upstream mi piace. In questo workaround ci starebbe bene anche il messaggio esplicito che useremo solo Pseudocodice non testato: try:
self._verifier.verify(
self._request.saml_request, x509_cert=self._cert)
self._request.saml_request, x509_cert=self._cert)
except InvalidInput as e:
if "Use verify(ignore_ambiguous_key_info=True)" in e.message:
self._verifier.verify(
self._request.saml_request, x509_cert=self._cert)
self._request.saml_request, x509_cert=self._cert,
ignore_ambiguous_key_info=True
)
logger.info("Found both X509Data and KeyValue in XML signature, using X509Data")
else:
raise e
[...]Eventualmente potremmo portare il messaggio anche upstream. |
|
PR aggiornata includendo il suggerimento di @bfabio , con piccole modifiche a seguito dei test in locale.
|
|
@lscorcia mi sa che le nuove modifiche non sono pushate :) |
|
Così imparo a saltare il caffé... :-) Grazie @bfabio ! |
Corregge la issue #325 permettendo le signature XML che includono sia il certificato sia la chiave pubblica in tag separati. Questo comportamento riflette quanto effettivamente permesso dallo standard XML Signature e dalle specifiche SAML e allinea il controllo a quanto effettuato dal tool saml-spid-check.
E' stata anche aperta la PR XML-Security/signxml#169 per la correzione direttamente nella libreria python utilizzata nella validazione, ma questa PR risolve il problema per quanto riguarda questo progetto senza aver bisogno di attendere che venga mergeata la patch upstream.