Hacker News Digest

Исследователь безопасности сообщил об уязвимости инъекции параметров OAuth в библиотеке auth0/nextjs-auth0 от Okta, которая позволяла злоумышленникам манипулировать токенами и URI перенаправления. Он предложил простой патч с кодированием параметра, но через три недели его PR закрыли, сославшись на другой, "подписанный" коммит. Оказалось, что оригинальный вклад исследователя был присвоен с использованием ИИ, который создал фиктивного автора "Simen A. W. Olsen" с несуществующим email.

Мейнтейнер признал использование ИИ для создания коммита и даже сгенерировал ИИ-ответ с извинениями, но отказался исправить атрибуцию, заявив, что "не может это изменить". Это привело к обвинениям в нарушении авторских прав. Параллельно первая уязвимость, позволявшая захватывать аккаунты, была исправлена только после трёхнедельного ожидания, а команда безопасности Okta заявила, что не примет отчёт об уязвимости без видеодемонстрации эксплуатации.

• Комментаторы обсуждают, что Okta и Auth0 не редко становятся объектом критики за игнорирование PR и отсутствие прозрачности в open-source-проектах.
• Участники также отмечают, что крупные корпорации, включая Okta, плохо справляются с внешними вкладами и не предоставляют должного признания авторам вкладов.
• Некоторые комментаторы поднимают вопрос о том, что использование SaaS-решений вроде Okta и Auth0 может быть рискованным, особенно если учесть их историю игнорирования уязвимостей и отсутствие прозрачности.
• Также обсуждается, что GitHub и другие платформы могли бы улучшить свой процесс рассмотрения PR и взаимодействия с внешними вкладами, чтобы избежать подобных ситуаций в будущем.

Auth.js, ранее известный как NextAuth.js, переходит под управление команды Better Auth. Эта библиотека — один из самых популярных инструментов аутентификации в JavaScript, используемый такими сервисами, как ChatGPT и Google Labs. Инициатива возникла из-за растущих потребностей в гибкости и современных функциях, которые исходная команда Auth.js не могла полноценно реализовать.

Существующие пользователи Auth.js могут продолжать работу без изменений: команда будет поддерживать безопасность и исправлять критические проблемы. Однако для новых проектов рекомендуется выбирать Better Auth, так как он предлагает более современные решения. Миграционные руководства уже доступны, а в будущем Better Auth планирует добавить недостающие функции, такие как управление сессиями без базы данных, чтобы объединить экосистему.

• Выражена обеспокоенность поглощением бесплатного проекта Auth.js коммерческим продуктом Better Auth, что может привести к его заброшенности.
• Отмечаются проблемы с развитием Auth.js: долгая разработка новой версии и уход ключевого контрибьютора.
• Подчеркивается удобство и популярность Auth.js среди разработчиков благодаря простой настройке и независимости от фреймворков.
• Обсуждается миграция крупных компаний (например, OpenAI) с Auth0 на собственные или открытые решения из-за неудовлетворительной поддержки.
• Упоминается нехватка простых и современных аутентификационных решений для языков вроде Go, в отличие от экосистемы JavaScript.

Кратко о PR #3899
Добавлена поддержка SSO через OpenID Connect (OIDC) в Vaultwarden.

• Что нового

  • Авторизация через внешний OIDC-провайдер (Keycloak, Azure AD, Google и др.).
  • Автоматическое создание/обновление пользователей при первом входе.
  • Настройка через переменные окружения: SSO_ENABLED, SSO_AUTHORITY, SSO_CLIENT_ID, SSO_CLIENT_SECRET.
  • Поддержка PKCE и offline_access для refresh-токенов.

• Как использовать

  1. Указать параметры OIDC в .env.
  2. Включить SSO в админ-панели.
  3. Пользователи входят кнопкой «Login with SSO».

• Ограничения

  • Только веб-клиент; мобильные/CLI пока без SSO.
  • Не работает с двухфакторной аутентификацией Vaultwarden (используйте MFA у провайдера).

• Проверено

  • Keycloak, Auth0, Azure AD, Google Workspace.

PR готов к слиянию; дальнейшие улучшения (SAML, группы) в roadmap.

• Внедрённый SSO в Vaultwarden в первую очередь нужен корпоративным и командным средам, где упрощает автоматическое добавление/удаление пользователей и управление доступом к коллекциям паролей.
• Для личного или семейного использования польза минимальна: мастер-пароль всё равно требуется, а SSO не заменяет шифрование.
• Многие админы некоммерческих и малых организаций рады возможности подключить единый OIDC-провайдер вместо ручного приглашения и отслеживания активных волонтёров/сотрудников.
• Часть пользователей обеспокоена безопасностью: просят аудитов, контроля образов Docker и зависимостей.
• SSO не отменяет мастер-пароль: он по-прежнему нужен для расшифровки хранилища, а SSO лишь аутентифицирует пользователя.