Qual è il punto di restrizione di una chiave API di google tramite il referer HTTP?

7

Se qualcuno ha la chiave e un referente valido, possono usare la chiave API da qualsiasi client purché l'intestazione del referer set, corretta?

Quindi vale la pena usare questa restrizione?

    
posta ryan 23.02.2017 - 00:41
fonte

3 risposte

8

Tutte le misure di sicurezza sono compromessi. Il costo del controllo vale più o meno del valore di ciò che viene protetto, e quanto più lavoro obbliga l'attaccante a fare.

Un lucchetto sul tuo bagaglio potrebbe impedire a un ladro occasionale di aprire la borsa per afferrare qualcosa, ma non impedirà a qualcuno di rubare la tua borsa. Ma il costo è basso, quindi è un controllo di sicurezza ancora utile.

Quindi, solo perché un agente potrebbe copiare l'intestazione del referrer, potrebbe non avere il tempo o l'inclinazione per farlo. Pensa a un'intestazione referrer valida come un braccialetto da concerto. Puoi forgiarli o sgattaiolare intorno alla guardia controllando i braccialetti? Certo che puoi, ma non rende la band inutile.

Aumenta il costo per l'aggressore.

Allo stesso modo, l'applicazione standard, non modificata e ben educata dirà la verità sull'ultima pagina da cui proviene e quindi verrà negato l'accesso all'API. Forse qualcuno che cerca di abusare del tuo servizio non sa che stai controllando le intestazioni dei referrer sul server e si arrenderà.

Quindi, in risposta alla domanda dell'OP, "vale la pena" è un giudizio di valore che solo tu puoi fare. Quanto impegno ci vuole per controllare il referrer? Probabilmente non molto. Quanto è prezioso proteggere l'uso della tua chiave API? Probabilmente di più Quel tipo di sforzo da parte tua vale il speedbump che piazzerai nella mano dell'attaccante?

Quest'ultima è la tua chiamata.

    
risposta data 23.02.2017 - 02:32
fonte
0

What is the point of restricting a google API key by HTTP referer?

Un'applicazione web non può facilmente forgiare il suo referrer durante l'emissione di richieste. Pertanto, la limitazione dei referrer consentiti a un elenco specifico impedisce ad altri siti Web di utilizzare la chiave API per i propri servizi Web e quindi di sfruttare la quota dell'API. È una funzione utile che dovresti sfruttare.

Tuttavia, un'applicazione che è in grado di impostare le proprie intestazioni di referrer ovviamente non sarà influenzata da questa restrizione. Serve solo a proteggere le applicazioni web.

    
risposta data 23.02.2017 - 01:49
fonte
0

Se stai consentendo a chiunque di utilizzare la chiave API client, fondamentalmente non c'è modo di prevenire l'abuso. Questo rende abbastanza fastidioso che potrebbe scoraggiare alcune persone. Non fa male abilitarlo, ma non dare per scontato che fermerà chiunque sia determinato. È un po 'come le misure anti-modding nei videogiochi online.

Opinione: ho visto molti luoghi, anche Google Cloud Platform, non essere abbastanza chiaro su cosa questa restrizione dei referrer HTTP garantisce: non molto.

    
risposta data 20.09.2018 - 20:30
fonte

Leggi altre domande sui tag