Redazione di Hardware Upg
15-07-2026, 15:52
Link alla notizia: https://edge9.hwupgrade.it/news/security/oauth-client-id-spoofing-la-nuova-minaccia-cloud-scoperta-da-proofpoint_156353.html
Proofpoint ha individuato una tecnica usata per enumerare gli account Microsoft Entra ID e verificare la validità delle credenziali senza registrare una vera applicazione OAuth e senza registrazione nei log
Click sul link per visualizzare la notizia.
ma cristo santo…
password grant nel 2026, serio? già chi si appoggia a ROPC ha problemi grossi su come si gestisce un flusso sicuro. se poi è MS e il prodotto è il loro identity provider beeeh :doh:
che poi l'endpoint sta aperto a livello di IdP per tutti, uno manco può chiuderlo. con gli errori che validano le credenziali prima ancora di rifiutare la richiesta, quindi manco bloccando la legacy auth chiudi il buco
i clienti dietro non stanno tanto meglio, e la scusa del legacy non regge, è l'accusa. dopo anni MS non ha un rimpiazzo pulito per certi scenari graph delegati, tanto che nei loro Q&A scrivono "no good alternatives". in prod con quella roba nel 2026 non ci vai, punto
OAuth l'ha sconsigliato dal 2012, nel 2025 lo mette a MUST NOT, con 2.1 che lo toglie proprio. MS stessa lo dichiara insicuro perché espone le credenziali alle app. poi però tiene l'endpoint aperto, errori super parlanti e log alla pane e salame
tanto, vero, chissenefrega se tra le vittime proofpoint ci sono tenant che ROPC manco lo toccano, sondati lo stesso da quell'endpoint comune. gente s'è ritrovata con mezza AAD lockata :mad:
poi MS si chiede perché la gente preferisce tenersi un keycloak self managed con la sua user pool sincronizzata fuori dalle logiche di tenant
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.