Milyen telefonos appokban? Az SSO es OIDC miota nem mukodik egy sima webes app-nal?
de figyelj ha hozzafer egy hacker valamihez teljes joggal, akkor mindent is ki tud olvasni, pont a memoriabol. Azellen semmi sem ved, hogy ha valaki mar bent van es ki tudja dumpolni egy process memoriajat. Akkor a titkositott DB adatod is cseszheted?
Miert kellene env varnak lennie egy secretnek? Miert ne lehetne felmountolni? De akarhogy is, ha egy hacker bejut egy K8S-be es admin jogosultsagot szerez secret:read, ott mar komoly bajok vannak. Nalunk azert RBAC-al meg van mondva, hogy adott namespace secretjeit csak az app serviceaccounbtja tudja olvasni. Szoval vannak ott bajok, ha nem private a cluster es igy jut be egy hacker es mindent is megszerez. Akkor kb a legkisebb baj, hogy kilvas barmit is a DB-bol.
Szoval tovabbra sincs azellen megoldas ha tarvahagyjuk a kaput es a hacker-nek minden jogot megadunk es emellett meg nem is auditalunk es riasztunk, ha valami suspicious tortenik. Ez ellen a DB teljes titkositasa sem ved. :D
(workload identity-nek hivjak ujabban az Azure-ban mikor federalod az odic-t es a pod serviceaccount-jat)
A CTO-nak meg igaza volt. Nem mindegy, hogy siman kiolvasod egy kodbol/file-bol, vagy be kell tornod valahova es ugy megszerezni (kubernetes full admin jogosultsag, amit sosem adunk ki amugy sem senkinek)
Termeszetesen ha egy oldal publikus ott nem tudod levedeni, de ilynkor jon be a multitier app, ahol van pubikus resz es van a backend es ezek API-n keresztul beszelnek, ahol csakis a public app-tol fogad el barmit, tehat nem lehet akarhonnan megszolitani. (fent irta is gelei)