A security researcher discovered an email verification bypass on an AI freelance platform by noticing that the JWT returned in the registration API response was identical to the token embedded in the verification email link. By manually constructing the verification URL using the already-exposed JWT, accounts could be verified without ever accessing the registered inbox. The root cause was token reuse across two distinct purposes: authentication after registration and email ownership verification. The write-up explains the broken trust model this creates, its potential impact (fake/disposable email abuse, undermined identity checks), and emphasizes that the finding required no advanced tools — only Chrome DevTools, a temp email, and careful observation of network traffic.
Nguồn: https://infosecwriteups.com/how-i-found-an-email-verification-bypass-on-an-ai-freelance-platform-6ad76663b658. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
RSK đã fork IdentityServer4 thành Open.IdentityServer, phiên bản miễn phí và mã nguồn mở cho OpenID Connect và OAuth 2.0 trên .NET, nhằm thay thế phiên bản thương mại của Duende Software. Open.IdentityServer 1.0.0 ra mắt tháng 6/2025 với giấy phép Apache 2.0, hỗ trợ di chuyển dễ dàng từ Duende chỉ bằng thay đổi NuGet package.
Nếu bạn đang phát triển ứng dụng .NET sử dụng OAuth 2.0/OpenID Connect và muốn có một giải pháp mã nguồn mở, hỗ trợ lâu dài mà không phụ thuộc vào các giải pháp thương mại, thì Open.IdentityServer là lựa chọn thay thế đáng tin cậy và dễ triển khai ngay hôm nay.
Vercel Flags giờ đây tự động xác thực thông qua OIDC tokens ngắn hạn mà không cần SDK Keys hay biến môi trường FLAGS cho các triển khai trên Vercel. Chỉ cần vercel link và vercel env pull là đủ cho phát triển local, trong khi các dự án cũ vẫn giữ nguyên yêu cầu SDK Keys cho các trường hợp đặc biệt.
Lập trình viên cần đọc bài này để hiểu cách tối ưu hóa quản lý tính năng động (flags) trong dự án Vercel mới nhất, giảm thiểu rủi ro về bảo mật khi sử dụng SDK Keys và khám phá giải pháp tự động hóa cho phát triển và triển khai.
Huntress research on the EvilTokens phishing-as-a-service (PhaaS) campaign reveals a 1,380% surge in device code phishing between H2 2025 and early 2026. The campaign abuses legitimate Microsoft 365 authentication flows via Railway.com PaaS to steal tokens at scale, with no malware or fake login pages involved. AI is central to the threat: across 344 victim organizations, no two phishing lures were identical, breaking pattern-based defenses. Security experts warn that AI has collapsed attacker timelines from weeks to hours and that MFA alone is insufficient when legitimate auth flows are exploited. Recommended defenses include restricting device code authentication, monitoring for suspicious sign-ins, revoking tokens quickly, and treating non-human identity management as a growing priority.
Hướng dẫn từng bước tích hợp Okta với Google Workspace qua giao thức SCIM, bao gồm cấu hình xác thực API, quyền OAuth, đồng bộ hai chiều, quản lý mật khẩu và xác minh hoạt động người dùng.
Lập trình viên nên đọc bài này để hiểu cách tự động hóa và an toàn hóa việc quản lý người dùng giữa Google Workspace và Okta bằng SCIM, giúp tiết kiệm thời gian và tránh rủi ro khi xử lý thủ công.

Lỗi mật mã trong xác thực và quản lý phiên (session) là một trong những rủi ro bảo mật ứng dụng web nghiêm trọng nhất, thường do sử dụng thuật toán băm mật khẩu lỗi thời (MD5, SHA-1), salts yếu, chế độ mã hóa không an toàn (ECB), khóa bí mật cứng, token phiên yếu hoặc tái sử dụng IV. Các biện pháp khắc phục bao gồm triển khai TLS 1.3, AES-GCM, thiết lập cookie bảo mật (Secure, HttpOnly, SameSite=Strict) và xoay khóa ký định kỳ.
Là lập trình viên phát triển ứng dụng web, bạn phải hiểu cách bảo vệ dữ liệu người dùng và hệ thống khỏi các lỗ hổng mật mã, vì những sai lầm trong xác thực và quản lý phiên sẽ khiến ứng dụng dễ bị tấn công và gây thiệt hại lớn về dữ liệu và uy tín.
An exploration of Kong Konnect's two API authentication surfaces — the platform admin API (using personal access tokens) and the Dev Portal developer API (using portalaccesstokens) — and why neither enables fully automated, agent-first onboarding. The author benchmarks Kong against SoundCloud's programmatic onboarding flow and finds Kong lands in a 'paste a token' bucket: the first credential still requires a human clicking through a UI. A complete Node.js script is provided that automates everything after that bootstrap step, supporting both admin listing and developer application registration with Key-Auth or OIDC/DCR credentials. The post closes with a call for Kong to publish a stable, documented public developer portal API that lets agents onboard end-to-end without manual console interaction.
A hands-on tutorial for building a to-do app using Nuxt 4 and Appwrite, covering project setup, environment configuration, Appwrite's new TablesDB class, authentication (login/register/logout), and CRUD operations for notes with optimistic UI updates. Includes a GitHub repo for reference.
Anthropic has released a self-hosted Claude apps gateway that centralizes identity, policy enforcement, telemetry, routing, and spend management for Claude Code deployments on Amazon Bedrock and Google Cloud. The stateless container integrates with OIDC providers like Google Workspace, Microsoft Entra ID, and Okta to replace per-developer credential provisioning with SSO-based onboarding and offboarding. Admins can define managed settings centrally, set spend caps at org/group/individual levels, and route telemetry via OTLP to company-controlled infrastructure. Inference traffic and usage data stay on the organization's own infrastructure for Bedrock and Google Cloud deployments. Anthropic is also publishing the gateway protocol to allow third-party compatible implementations. The move consolidates what previously required separate tooling into a single container, though analysts note it doesn't address multi-model governance or agent control.