From: Tommy Larsson <tommy.larsson@umu.se>
Sent: Wednesday, June 11, 2025 12:49 PM
To: saml-admins@lists.sunet.se; Simon Lundström <simlu@su.se>
Subject: [Saml-admins] Re: pairwise-id och hitta användare? Was: OMG WTF ScienceDirect / Elsevier...

Tjo!

Efter många turer med det fantastiska företaget Elsevier så föredrar dom
ju nu (helt otroligt nog!) att man använder pairwise-id. Men efter våra
turer med dom tidigare och deras försök att bistå med information om att
spåra användare så har jag valt att köra på eduPersonTargetedID ändå för
att det är enklare att göra ett uppslag i en databas än att förlita sig
på att dom ger oss rätt information med korrekta tidpunkter.

Men frågan kvarstår; om du bara har ett pairwise-id, som rekommenderas
att använda en BASE32:ad saltad SHA-{1,256} av användarnamnet, men inte
har något korrekt datum: Hur hittar du vem användaren som loggat in är?
Även om att bruteforcea alla ens aktiva konton är 100% görbart så känns
det lite som fel väg att gå för att "spåra" vilken användare som loggat
in i en tjänst.

Hur har ni gjort?

MVH
- Simon
_______________________________________________
Saml-admins mailing list -- saml-admins@lists.sunet.se
To unsubscribe send an email to saml-admins-leave@lists.sunet.se