Quali sono le implicazioni della divulgazione di un segreto del consumatore per la condivisione tra sviluppatori che sviluppano siti Web locali?

Question

Quali sono le implicazioni della divulgazione di un segreto del consumatore per la condivisione tra sviluppatori che sviluppano siti Web locali?

#1 da (1 voti)

8

In relazione a questo problema di GitHub sul progetto Gittip (che si è rivelato essere un falso allarme), quali sono le implicazioni sulla sicurezza, se ce ne sono, di hardcoding nel repository git, una chiave utente OAuth di test e un segreto per ogni provider che utilizziamo.

L'intenzione è di rendere il più semplice possibile per un nuovo sviluppatore la creazione di un ambiente di sviluppo funzionante, e chiedere a loro di creare un gruppo di app OAuth è sembrato indesiderabile.

Per quello che vale, i dettagli sono i seguenti:

presuppone solo lo sviluppo del sito locale (nessun archivio dati remoto)
includono Twitter, GitHub, OpenStreetMaps, Bitbucket, Venmo, tra gli altri
i segreti divulgati sono solo per testare le app

oauth web-application

posta patcon 08.04.2014 - 02:59

fonte

1 risposta

Leggi altre domande sui tag oauth web-application

Si è rotto lo scrypt, finalmente? Come si rileva il bilanciamento del carico?

score 1 · Answer 1

Potresti rendere il file di configurazione solo locale e non verificarlo?

O semplicemente condividi il file di configurazione / le chiavi API a un pubblico limitato?

La condivisione di una chiave lo rende anche un singolo punto di errore. Se si tratta di un account di prova limitato che puoi rimuovere se necessario, hai un controllo molto migliore. È necessario essere a conoscenza dei termini di tali account (Twitter, Github, OpenStreetMaps, ecc.) Per assicurarsi di non violare i loro termini di servizio ospitando ID API come contenuto liberamente scaricabile.

Accetta che non è il massimo dal punto di vista dell'usabilità degli sviluppatori, ma i tuoi sviluppatori dovrebbero utilizzare le proprie chiavi API per ottenere l'isolamento dell'account e proteggere te e gli altri. Ciò influisce sul tempo di avvio, forse c'è un progetto là fuori per semplificare questo per gli sviluppatori? Dai l'interwebs, sali sopra.