@@dantero_Kullandığımız kütüphanenin verify methoduna public-key ve secret beslemesini doğru parametrelerden pass ettiğimizden emin olmalıyız. Bu açığın spesifik olarak kapatılmasını araştırmadım. Ama burada temeldeki hata doğru algoritmayla doğru keyin kullanılmaması. Public key in HS256 algoritmasinda secret olarak kullanilması. Yani çözüm aslında alg headerından gelen algoritma neyse ona uygun bir key kullandığımızdan emin olmak. Keyleri karıstirmamak. Bunun icin de kullandigimiz kutuphanelerin bu methodlarini iyi tanimaliyiz.

@@UmutBayramKZbin benim uygulamam çok daha basit. RSA ile falan uğraşmıyorum. Dümdüz HS256 kullanıyorum. Bu bir problem yaratmaz sanırım değil mi?

@@dantero_ Secret inizi kaptırmadığınız ve güvenli bir secret kullandığınız sürece açık oluşacağını düşünmuyorum.

@@UmutBayramKZbin Yorumu yazdığımdan beri araştırıyorum ben de aynı sonuca vardım. :) RSA kullanılan sistemlerde bu ve önceki videodaki zafiyet sadece tek bir algoritma kontrolü ile kapatılabiliyor. Yapılması gereken eğer RSA kullanıyorsanız verify metotuna algorithms: ['RSXXX'] parametresini geçmek. Bu yapıldığında herhangi bir zafiyet kalmıyor. :) HS256 gibi simetrik bir algoritma kullanıyorsak bir şey yapmamıza gerek yok, dediğiniz gibi sadece secretların güvende olduğudan emin olmalıyız.