Closed4

jose / jwt は危険っていうアレの話

この記事で言われている対抗策

結論

  • やはり最初の記事はちょっと大げさな度合いが強い気がする
    • ただしEncryptの項目についてはそもそも関心外なので不明
  • 確かにalg: noneって何よ感はあるし、言わんとしてることはわかる。
  • 一方で結局流行ってなかったり実装系の薄いfernetやpasetoを使うかというと、現状そっちの脆弱性の方が怖いと感じてしまう・・・
  • 実際のところ大手が使いすぎててもはやjwtをスタンダードと見たほうが自然になってしまうレベル
  • jwtを使うよりjwt以外を使う方が現状説明コストが高い
  • joseの一部仕様を削ったりすればいいだけなら、safety-joseとかstrict-joseみたいな提唱はなかったんだろうか?とか感じてしまう
    • TypeScriptが流行った理由みたいな
このスクラップは2021/02/05にクローズされました
ログインするとコメントできます