Get webhook notifications whenever Digitaliseringsdirektoratet creates an incident, updates an incident, resolves an incident or changes a component status.
ID-porten og Ansattporten - innstramming av valideringsregler for authorize-kallet - 28.04.26
Scheduled for Apr 28, 09:00 - 16:00 CEST
Scheduled
Tirsdag 28. april vil følgende endringer vil bli innført for ID-porten og Ansattporten:
Det innføres lengde- og mønstervalidiering av state-parameteren i OAuth 2.0 autorisasjonsforespørsler. Dette skal redusere risikoen for at autorisasjonssvar ikke kan leveres, noe som kan utnyttes som en angrepsvektor ved såkalte browser swap-angrep
Det innføres validering av nonce-parameteren i OpenID-autentiseringsforespørsler. Lengden begrenses til maksimalt 128 tegn, og tillatte tegn begrenses til BASE64URL-tegnsettet og BASE64 settet pluss punktum ('.')
Klientregistreringsendepunktet vil håndheve en maksimal lengde på 1024 tegn for metadatafeltene redirect_uris og post_logout_redirect_uris. Dette skal forhindre bruk av for lange URI-er som kan bli avvist av nettlesere eller mellomliggende infrastruktur når autorisasjonssvarparametere som iss og state legges til.
Vi anbefaler at berørte integrasjoner gjennomgår og eventuelt tilpasser sine oppsett så snart som mulig.