Comments 2
Особенность Kubernetes — в отсутствии своей системы аутентификации: каждый пользователь кластера по умолчанию имеет права суперадминистратора и может делать что угодно.
Вы говорите конкретно про VK cloud или в целом про Kubernetes? Если в целом, то это не так.
Отсутствие собственной системы аутентификации создает определенные опасности: любой пользователь облака может получить доступ к kubeconfig и сделать с ним что угодно.
Опять же, возможно нужно уточнить, что речь идет только про ваше решение. В других облаках все по-другому.
Пересоздать, валидировать и отозвать kubeconfig сложно, поэтому любые действия злоумышленников с ним могут причинить значительный ущерб.
В Kubernetes нет такой сущности как kubeconfig. Вы наверное имеете ввиду клиентские сертификаты?
По умолчанию пользователю надо вводить пароль раз в час, это самый безопасный режим взаимодействия. Но если надо, в kubeconfig можно внести правки, чтобы пароль запрашивался только однажды.
Вы снова так говорите, словно kubeconfig это часть Kubernetes. Это не так.
Здравствуйте. Пожалуйста передайте коллегам чтобы поскорее посмотрели 1228 заявку багбаунти относительно уязвимости миллионов профилей вк. (К сожалению Хабр не даёт мне оставить коммент под профильным постом https://habr.com/ru/company/vk/blog/705222/, поэтому написал сюда).
Изначально писал эту проблему еще в поддержку вк, но там из-за полной халатности, некомпетентности и полной профнепригодности на неё отвечают одними отписками с заведомо ложной информацией, чтобы я поскорее от них "отвалил".
Технология единого входа (Single Sign-On) в Kubernetes: реализация на примере VK Cloud