RequireHttpsMetadata: false em producao

HIGH-03

HighAchado ConfirmadoSegurancaRodada 1

Descricao

O middleware de autenticacao JWT Bearer aceita tokens emitidos por endpoints HTTP (nao HTTPS) como validos, configurado diretamente no ConfigMap de producao.

Evidencia

`.github/kubernetes/production/configmap.yaml` linha 7: `AuthServer__RequireHttpsMetadata: "false"`.

Impacto Tecnico

Em caso de MITM na rede interna do cluster, tokens forjados por um issuer falso seriam aceitos.

Impacto de Negocio

Risco de autenticacao comprometida no ambiente de producao.

Recomendacao

Definir RequireHttpsMetadata: "true" em producao. O valor false e aceitavel apenas em desenvolvimento local.

Arquivos Afetados

.github/kubernetes/production/configmap.yaml

Achados Relacionados

SEC2-13RequireHttpsMetadata hardcoded como false nos deployments YAML de producao

Acoes Relacionadas

ACT-1.6Ver acao no plano

{
  "id": "HIGH-03",
  "title": "RequireHttpsMetadata: false em producao",
  "severity": "High",
  "type": "achado confirmado",
  "category": "security",
  "description": "O middleware de autenticacao JWT Bearer aceita tokens emitidos por endpoints HTTP (nao HTTPS) como validos, configurado diretamente no ConfigMap de producao.",
  "evidence": "`.github/kubernetes/production/configmap.yaml` linha 7: `AuthServer__RequireHttpsMetadata: \"false\"`.",
  "technicalImpact": "Em caso de MITM na rede interna do cluster, tokens forjados por um issuer falso seriam aceitos.",
  "businessImpact": "Risco de autenticacao comprometida no ambiente de producao.",
  "recommendation": "Definir `RequireHttpsMetadata: \"true\"` em producao. O valor `false` e aceitavel apenas em desenvolvimento local.",
  "files": [
    ".github/kubernetes/production/configmap.yaml"
  ],
  "pass": 1,
  "relatedActions": [
    "ACT-1.6"
  ],
  "relatedFindings": [
    "SEC2-13"
  ]
}

RequireHttpsMetadata: false em producao

Descricao

Arquivos Afetados

Achados Relacionados

Acoes Relacionadas

Texto Original