API CLI che richiede dettagli utente in testo normale

Question

API CLI che richiede dettagli utente in testo normale

#1 da (0 voti)
#2 da (0 voti)
#3 da (-1 voti)

7

Mi è stato assegnato il compito di scrivere un modulo per la mia azienda per l'interfaccia con un'API esterna. Questa API ha una sintassi simile a SSH in cui devo incorporare i dettagli dell'utente e l'indirizzo host del server a cui sto cercando di connettermi.

Tuttavia, mi imbatto nel problema di sicurezza che per passare i dettagli dell'utente, ho bisogno di averli in chiaro. Ancora peggio è il fatto che questi dettagli utente sono in realtà i dettagli dell'utente per la macchina su cui è in esecuzione il server. Esiste un modo intelligente per eseguire questa operazione senza andare fuori bordo e utilizzando un server di accesso esterno? So che ci sono state discussioni simili in cui è stata raggiunta la conclusione "Do not do it", ma in questo caso non ho alcun controllo sul modo in cui funziona l'API.

php

posta Max Basescu 22.07.2014 - 16:42

fonte

3 risposte

Leggi altre domande sui tag php

Google blocca 100000..100000 [chiuso] Integrazione continua per lo sviluppo degli exploit

score 0 · Answer 1

Se non puoi modificare l'API, devi archiviare la password o chiederla all'utente ogni volta che devi effettuare una chiamata API.

Supponendo che chiedere non è pratico, memorizzare la password crittografata. No, non fermerà un attaccante serio, ma è meglio di niente: la memorizzazione della password in testo non fermerà nemmeno uno script kiddie.

score 0 · Answer 2

È un comune problema e l'utilizzo di un server di accesso esterno sposta semplicemente il problema altrove.

Una soluzione (piuttosto elaborata) consiste nel crittografare la password utilizzando una chiave pubblica per ogni utente autenticato e utilizzando la protezione tramite password sulla chiave privata dell'utente, memorizzata sulla macchina, in cui la password fornita dall'utente può anche autenticare l'accesso al macchina che funge da client o inviata attraverso il cavo dalla memoria sulla macchina client (ma comunque protetta dalla password immessa manualmente). Questo almeno rimuove il testo in chiaro dalla memoria.

Sicuramente vuoi assicurarti che ci sia un firewall restrittivo tra il computer client e qualsiasi utente.

score -1 · Answer 3

Bene, quindi potresti fare il metodo chiave asimmetrico, ma se ci pensi, il motivo per cui la password è crittografata sul client, solitamente la stessa password viene usata in altre istanze, quindi se usi una password separata per transazioni con questa API, isolerai i problemi solo con questo metodo di accesso.