10:10 a.m.
Tjo!
Efter många turer med det fantastiska företaget Elsevier så föredrar dom
ju nu (helt otroligt nog!) att man använder pairwise-id. Men efter våra
turer med dom tidigare och deras försök att bistå med information om att
spåra användare så har jag valt att köra på eduPersonTargetedID ändå för
att det är enklare att göra ett uppslag i en databas än att förlita sig
på att dom ger oss rätt information med korrekta tidpunkter.
Men frågan kvarstår; om du bara har ett pairwise-id, som rekommenderas
att använda en BASE32:ad saltad SHA-{1,256} av användarnamnet, men inte
har något korrekt datum: Hur hittar du vem användaren som loggat in är?
Även om att bruteforcea alla ens aktiva konton är 100% görbart så känns
det lite som fel väg att gå för att "spåra" vilken användare som loggat
in i en tjänst.
Hur har ni gjort?
MVH
- Simon
10:49 a.m.
Hej
Precis som du skriver, bruteforce av användarna, fick göra det för någon månad sedan mot
openAtens och vi kör ju adfs. Använder ju ingen tidstämpel för pairwise-id.
Mvh Tommy Larsson
________________________________
Från: Simon Lundström via Saml-admins <saml-admins(a)lists.sunet.se>
Skickat: den 11 juni 2025 12:10
Till: saml-admins(a)lists.sunet.se <saml-admins(a)lists.sunet.se>
Ämne: [Saml-admins] pairwise-id och hitta användare? Was: OMG WTF ScienceDirect /
Elsevier...
Tjo!
Efter många turer med det fantastiska företaget Elsevier så föredrar dom
ju nu (helt otroligt nog!) att man använder pairwise-id. Men efter våra
turer med dom tidigare och deras försök att bistå med information om att
spåra användare så har jag valt att köra på eduPersonTargetedID ändå för
att det är enklare att göra ett uppslag i en databas än att förlita sig
på att dom ger oss rätt information med korrekta tidpunkter.
Men frågan kvarstår; om du bara har ett pairwise-id, som rekommenderas
att använda en BASE32:ad saltad SHA-{1,256} av användarnamnet, men inte
har något korrekt datum: Hur hittar du vem användaren som loggat in är?
Även om att bruteforcea alla ens aktiva konton är 100% görbart så känns
det lite som fel väg att gå för att "spåra" vilken användare som loggat
in i en tjänst.
Hur har ni gjort?
MVH
- Simon
_______________________________________________
Saml-admins mailing list -- saml-admins(a)lists.sunet.se
To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se
11:12 a.m.
Hej,
Pairwise-id är ingen anonymiserad identifierare utan en opak pseudonymiserad identifierare
som ska vara samma för aktuell användare vid varje inloggning till tjänsten på samma sätt
som för eduPersonTargetedId utan att innehålla case-folding-problemet som finns i den
senare. Shibboleth beräknar värdet på pairwise korrekt så länge du inte bråkar med
konfigurationen.
Pål
From: Tommy Larsson <tommy.larsson(a)umu.se>
Sent: Wednesday, June 11, 2025 12:49 PM
To: saml-admins(a)lists.sunet.se; Simon Lundström <simlu(a)su.se>
Subject: [Saml-admins] Re: pairwise-id och hitta användare? Was: OMG WTF ScienceDirect /
Elsevier...
Hej
Precis som du skriver, bruteforce av användarna, fick göra det för någon månad sedan mot
openAtens och vi kör ju adfs. Använder ju ingen tidstämpel för pairwise-id.
Mvh Tommy Larsson
________________________________
Från: Simon Lundström via Saml-admins
<saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>>
Skickat: den 11 juni 2025 12:10
Till: saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>
<saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>>
Ämne: [Saml-admins] pairwise-id och hitta användare? Was: OMG WTF ScienceDirect /
Elsevier...
Tjo!
Efter många turer med det fantastiska företaget Elsevier så föredrar dom
ju nu (helt otroligt nog!) att man använder pairwise-id. Men efter våra
turer med dom tidigare och deras försök att bistå med information om att
spåra användare så har jag valt att köra på eduPersonTargetedID ändå för
att det är enklare att göra ett uppslag i en databas än att förlita sig
på att dom ger oss rätt information med korrekta tidpunkter.
Men frågan kvarstår; om du bara har ett pairwise-id, som rekommenderas
att använda en BASE32:ad saltad SHA-{1,256} av användarnamnet, men inte
har något korrekt datum: Hur hittar du vem användaren som loggat in är?
Även om att bruteforcea alla ens aktiva konton är 100% görbart så känns
det lite som fel väg att gå för att "spåra" vilken användare som loggat
in i en tjänst.
Hur har ni gjort?
MVH
- Simon
_______________________________________________
Saml-admins mailing list --
saml-admins@lists.sunet.se<mailto:saml-admins@lists.sunet.se>
To unsubscribe send an email to
saml-admins-leave@lists.sunet.se<mailto:saml-admins-leave@lists.sunet.se>
11:43 a.m.
On 11 Jun 2025, at 12:10, Simon Lundström via
Saml-admins <saml-admins(a)lists.sunet.se> wrote:
Hur har ni gjort?
Både eduID [0] och eduID Connect [1] beräknar värdet on-the-fly baserat på
eppn/subject-id, utan tidsdata.
[0]
https://github.com/SUNET/eduid-backend/blob/ceccea1eecd9756b187b5da0b61bcce…
[1]
https://github.com/SUNET/eduid-backend/blob/ceccea1eecd9756b187b5da0b61bcce…
--
jocar
8:28 a.m.
On Mon, 2025-06-16 at 13:43:27 +0200, Johan Wassberg via Saml-admins wrote:
On 11 Jun 2025, at 12:10, Simon Lundström via Saml-admins
<saml-admins(a)lists.sunet.se> wrote:
Hur har ni gjort?
Vi kör nå rekommendationer som nån federation har snört ihop[1] >; P
Enda skillnaden är att vi kör SHA256 istf SHA1(?) som är default.
Jag lyckades inter förstå Shibboleths kod[2] tillräckligt för att
återskapa med shell/perl/python.
Borde rimligen vara något liknande:
echo -e "$SP_ENTITYID!$UID!" | openssl dgst -sha256 -hmac $SALT -binary | base32
men värdet stämmer inte.
Sedan gav jag upp och confade ePTID för jag orkar inte tjafsa mer med
Elsevier.
MVH
- Simon
1,
<https://wiki.sunet.se/display/SWAMID/Example+of+a+standard+attribute+resolver+for+Shibboleth+IdP+v5+and+above>
2,
<https://git.shibboleth.net/view/?p=java-shib-attribute.git;a=blob;f=shib-attribute-impl/src/main/java/net/shibboleth/idp/attribute/impl/ComputedPairwiseIdStore.java;hb=7e5878092955d7ec547e74deea914d36aae5f92e#l294>
13
days inactive
19
days old
4 comments
4 participants
participants (4)
-
Johan Wassberg -
Pål Axelsson -
Simon Lundström -
Tommy Larsson