[Python] REST security & co: qualcuno usa paseto invece di JOSE/JWT?
Jacopo Cascioli
jacopocascioli a gmail.com
Dom 18 Mar 2018 16:20:22 CET
Ma ribatto punto per punto l'ennesima specifica di cui non c'era bisogno,
bastava saper programmare:
- JSON Web Tokens are Often Misused: come da intro, se un programmatore non
ce la fa, non ce la fa nemmeno con una specifica più sicura e troverà il
modo di implementarla in maniera non sicura
- JSON Web Signatures Makes Forgery Trivial: in teoria la specifica dice
che i JWT vanno firmati con una chiave segreta, ma shhh che devono
promuovere il loro progetto. Bastava leggere la specifica.
- JSON Web Encryption is a Foot-Gun: Eh, la crittografia è difficile, a
meno che tu non sia un esperto in crittografia. Dopo questa fantastica
scoperta, diciamo anche che le specifiche possono essere aggiornate, così
da togliere algoritmi non sicuri in favori di quelli più sicuri.
Jacopo
Il giorno 9 marzo 2018 16:04, Ernesto Arbitrio <ernesto.arbitrio a gmail.com>
ha scritto:
>
> 2018-03-09 15:58 GMT+01:00 Roberto Polli <robipolli a gmail.com>:
>
>> Ciao belli,
>>
>> qualcuno usa questo invece dei classici JWT/JOSE?
>>
>> https://github.com/paragonie/paseto
>
> mai visto, glie damo na letta!
> grazie Rob
>
>>
>>
>> Pax,
>> R:
>> _______________________________________________
>> Python mailing list
>> Python a lists.python.it
>> https://lists.python.it/mailman/listinfo/python
>>
>
>
> _______________________________________________
> Python mailing list
> Python a lists.python.it
> https://lists.python.it/mailman/listinfo/python
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.python.it/pipermail/python/attachments/20180318/e7d27ee4/attachment.html>
Maggiori informazioni sulla lista
Python